다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 WhatsApp 악성코드 유포 캠페인

WhatsApp 악성코드 유포 캠페인

멀웨어년에 Mezo 년까지
번역 :

사이버 범죄자들이 WhatsApp 다이렉트 메시지를 이용해 악성 VBScript 파일을 배포하고 있는데, 이 파일은 감염된 시스템에 정식 원격 모니터링 및 관리(RMM) 소프트웨어를 설치하는 역할을 합니다. 이번 공격은 말레이시아, 브라질, 인도, 멕시코, 싱가포르, 영국, 스페인, 대만, 호주, 러시아, 베트남 등 여러 국가의 WhatsApp 데스크톱 및 웹 사용자들을 대상으로 이루어졌습니다. 특히 말레이시아에서 가장 많은 피해자가 발생했습니다.

연구원들은 공격자들이 여러 WhatsApp 계정에 무단으로 접근한 후, 이렇게 해킹당한 프로필을 이용해 연락처 목록에 있는 사람들에게 악성 파일을 전송한 것으로 추정하고 있습니다. 하지만 계정을 탈취하는 데 사용된 정확한 방법은 아직 밝혀지지 않았습니다.

비즈니스 문서로 위장

공격자들은 사회공학적 기법을 이용하여 피해자들이 악성 파일을 열도록 유도합니다. VBScript 첨부 파일은 합법적인 비즈니스 및 재무 문서로 위장되어 있으며, '재무 보고서.vbs'나 '계좌 명세서.vbs'와 같은 그럴듯한 파일 이름을 사용합니다. 또한, 국제적인 공격 범위를 넓히기 위해 포르투갈어, 프랑스어, 독일어, 말레이어 등 다양한 언어로 된 파일도 존재합니다.

해당 스크립트는 심하게 난독화되어 있으며, 마이크로소프트 윈도우 업데이트 구성 요소를 모방하도록 설계된 광범위한 주석과 메타데이터를 포함하고 있습니다. 수많은 주석이 중국어로 작성되었으며 다음과 같은 기능을 참조합니다.

  • Windows 업데이트 모듈
  • 인증서 유효성 검사 절차
  • 시스템 무결성 검사
  • 배포 관련 프로세스

이러한 요소들은 파일이 합법적인 것처럼 보이게 하여 보안 분석을 방해하기 위한 것입니다.

다단계 감염 사슬을 통해 원격 접속이 가능해짐

'WScript.exe'를 통해 실행되면 악성 VBScript는 추가 VBScript 구성 요소를 다운로드하고 실행하여 여러 단계의 감염 과정을 시작합니다. 초기 스크립트의 주요 목적은 원격 서버에서 두 개의 보조 페이로드를 가져오는 것입니다. 하나의 페이로드는 Windows 사용자 계정 컨트롤(UAC) 동작을 조작하려고 시도하고, 다른 하나는 ManageEngine RMM Central 설치 패키지가 포함된 ZIP 아카이브를 다운로드하고 실행합니다.

정식 RMM 소프트웨어가 성공적으로 설치되면 공격자는 원격 액세스 권한을 획득하여 피해자의 시스템을 제어할 수 있게 됩니다.

WhatsApp 웹과 데스크톱의 실행 경로 차이

감염 과정은 사용되는 WhatsApp 플랫폼에 따라 다릅니다. WhatsApp 웹에서는 피해자가 파일을 다운로드하고 다운로드 폴더나 브라우저 기록에서 해당 파일을 직접 열도록 되어 있으며, 이때 피해자는 해당 파일이 정상적인 문서라고 생각하게 됩니다.

반면, WhatsApp 데스크톱 애플리케이션은 악성코드가 클라이언트 환경 내에서 직접 실행되도록 허용합니다. 프로세스 분석 결과, 애플리케이션의 백그라운드 프로세스인 'WhatsApp.Root.exe'가 'WScript.exe'를 실행하고, 이 'WScript.exe'가 악성 실행 과정을 시작하는 것으로 나타났습니다.

이전 악성코드 공격과의 연관성 가능성

이번 공격은 특정 위협 그룹의 소행으로 공식적으로 확인되지는 않았지만, 조사관들은 Gh0st RAT 및 ValleyRAT 악성코드 계열과 관련된 이전 악성 활동과 인프라가 중복되는 부분을 발견했습니다. 이러한 유사점은 이번 공격이 이전 사이버 범죄 조직과 자원이나 전술을 공유했을 가능성을 시사합니다.

WhatsApp 사용자를 위한 필수 예방 조치

보안 전문가들은 신뢰할 수 있는 연락처에서 온 메시지라도 WhatsApp을 통해 예상치 못한 첨부 파일을 받을 경우 주의를 기울여야 한다고 조언합니다. 다음 파일 형식은 진위 여부를 별도로 확인하기 전까지는 절대 열지 않아야 합니다.

  • VBS 및 VBE 스크립트 파일
  • EXE, BAT, CMD와 같은 실행 파일
  • JS 및 PS1을 포함한 스크립트 기반 형식

첨부 파일을 열기 전에 내용을 확인하는 것은 신뢰할 수 있는 통신 플랫폼을 악용하는 악성코드 공격에 대한 가장 효과적인 방어책 중 하나입니다.

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
24,122
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
21,791
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...