경고! 피싱 캠페인에 유포된 새로운 RAT 및 Infostealer 악성코드

HP의 보안 연구원들은 새로운 악성 도구, 즉 맬웨어를 확산하고 피해자 시스템에서 정보를 훔치는 데 사용되는 도구 번들을 추적해 왔습니다.

이 새로운 캠페인에서 공격의 초기 페이로드는 JavaScript로 코딩된 파일 다운로더이며, 이는 차례로 원격 액세스 트로이 목마, 자격 증명 및 정보 유출 도구로 구성된 다양한 보조 페이로드를 배포하는 데 사용됩니다. HP 연구팀은 공격에 사용된 2차 페이로드의 특성 때문에 위협을 RATDispenser 라고 불렀습니다.

연구원들은 RATDispenser가 최대 8개의 서로 다른 맬웨어 패밀리를 배포하는 데 사용되었음을 발견했습니다. 이러한 다양성으로 인해 RATDispenser 자체가 MaaS(Malware-as-a-Service) 체계를 사용하여 위협 행위자에게 라이선스 아웃될 수 있다는 규정이 생겼습니다.

JavaScript 다운로더가 피해자의 시스템에 도입되기 전에 감염 사슬의 첫 번째 단계는 전통적인 피싱 캠페인입니다.

피해자는 악의적인 사용자가 가짜 주문과 관련된 정보가 포함된 텍스트 파일이라고 주장하는 내용이 포함된 가짜 "제품 주문" 이메일을 받습니다. 텍스트 파일을 열려고 하면 다운로더 설치가 시작됩니다. 초기 페이로드의 JavaScript 코드는 자동화된 방어를 피하기 위해 더욱 난독화됩니다.

RATDispenser는 WSHRAT 및 STRRAT 와 같은 일부 인기 있는 원격 액세스 트로이 목마를 배포 및 다운로드하는 것으로 밝혀졌으며 이 두 가지만이 관찰된 페이로드의 대부분을 구성합니다.

더욱 우려되는 것은 새로운 악성코드에 대한 테스트에 사용된 악성코드 방지 도구 중 11%만이 탐지에 성공했다는 것입니다. 이러한 수준의 회피는 보안 제품군이 설치되어 있더라도 잠재적인 피해자에게 많은 문제를 일으킬 수 있습니다.

원격 액세스 트로이 목마 와 키로거 또는 인포스틸러 악성코드 는 일단 피해자 시스템에 침투하면 탐지를 피하기 위해 최선을 다하기 때문에 특히 교활합니다. 파괴적인 행동, 깜박이는 빨간색 랜섬웨어 징후, 시스템 안정성 손실이 없습니다. 이는 이러한 악성 도구를 운영하는 악의적인 행위자가 호스트 시스템에서 데이터, 암호 및 키 입력을 빼내면서 잠재적으로 매우 오랜 시간을 보낼 수 있음을 의미합니다.