사이버 보안 서비스 회사인 Truesec에 따르면, 악성 PDF 편집 앱이 구글 광고를 통해 유포되고 있습니다. 이 앱은 정보를 도용하는 악성 코드인 'TamperedChef'를 배포하며, 이는 사용자의 시스템을 주거용 프록시로 등록하도록 사용자를 속이는 여러 앱들의 일부입니다. 이러한 앱들은 50개 이상의 도메인에서 호스팅되며, 최소한 4개의 다른 회사가 발행한 가짜 인증서로 서명되어 있습니다. 이 캠페인은 광고가 완전히 실행된 후에 악성 구성 요소를 활성화하는 등, 광범위하고 잘 조직된 것으로 보입니다.
Truesec의 기술 분석에 따르면, 이 악성 코드는 'AppSuite PDF Editor'라는 무료 도구를 홍보하는 여러 웹사이트를 통해 배포되었습니다. 인터넷 기록을 기반으로, 이 캠페인은 6월 26일에 시작되었으며, 이때 많은 웹사이트들이 등록되거나 AppSuite PDF Editor를 광고하기 시작했습니다. 그러나 연구자들은 이 악성 앱이 5월 15일에 VirusTotal 악성 코드 스캔 서비스를 통해 검증되었다는 것을 발견했습니다. 이 프로그램은 8월 21일까지 정상적으로 작동하다가, 업데이트를 받아 인증 정보와 웹 쿠키와 같은 민감한 데이터를 수집하는 악성 기능이 활성화되었습니다.
Truesec 연구자들은 이 악성 프로그램을 홍보하기 위해 구글 광고를 이용한 증거를 발견했습니다. 이들은 악성 구성 요소를 활성화하기 전에 다운로드 수를 최대화하기 위한 전략을 가지고 있었을 것으로 보입니다. 이들은 구글 광고 캠페인의 일반적인 만료 기간인 60일 전인 4일 전에만 이 악성 코드를 배포했습니다. 또한, 이들은 이 프로그램의 다양한 버전이 ECHO Infini SDN BHD, GLINT By J SDN. BHD, SUMMIT NEXUS Holdings LLC, BHD 등 최소한 4개의 회사로부터 발행된 인증서로 서명되었다는 것을 발견했습니다.
- 사이버 보안 서비스 회사 Truesec는 구글 광고를 통해 악성 PDF 편집 앱이 유포되고 있다고 밝혔다.
- 이 앱은 정보를 도용하는 악성 코드인 'TamperedChef'를 배포하며, 이는 사용자의 시스템을 주거용 프록시로 등록하도록 사용자를 속이는 여러 앱들의 일부다.
- 이 악성 코드는 'AppSuite PDF Editor'라는 무료 도구를 홍보하는 여러 웹사이트를 통해 배포되었다.
- 이들은 악성 구성 요소를 활성화하기 전에 다운로드 수를 최대화하기 위한 전략을 가지고 있었을 것으로 보인다.
- 이들은 이 프로그램의 다양한 버전이 ECHO Infini SDN BHD, GLINT By J SDN. BHD, SUMMIT NEXUS Holdings LLC, BHD 등 최소한 4개의 회사로부터 발행된 인증서로 서명되었다는 것을 발견했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.