연구원들은 최소한 40만 대의 윈도우 시스템에 프록시 서버 앱을 통해 보내는 대규모 캠페인을 발견했습니다. 이는 사용자의 동의 없이 기기를 주거용 출구 노드로 만들며 악의적인 페이로드를 이용해 프록시 애플리케이션을 제공하는 봇넷 네트워크를 구축했다고 AT&T Alien Labs는 보고했습니다. 봇넷의 주체는 사용자가 동의를 준 것처럼 주장하지만 연구자들은 기기에 프록시가 조용히 설치되었다는 사실을 발견했습니다.

해당 프록시 웹사이트는 출구 노드가 소유자의 동의를 얻고 디바이스의 사용에 동의한 사용자로부터 만들어진다고 주장하였습니다. AT&T Alien Labs는 이와 반대로 이 감염은 프록시가 감염된 시스템에 묵시적으로 설치된 것에 대한 증거를 찾았습니다. 이 프록시 앱은 디지털 서명이 적용되어 있어, 안티 바이러스 감지를 피하고 보안회사의 레이더 아래에서 조용히 운반됩니다.

이러한 감염은 프록시 애플리케이션을 바로 사용자 인터랙션 없이 자동으로 다운로드, 설치하는 크랙된 소프트웨어와 게임 내의 로더의 실행에서 시작됩니다. 프록시 클라이언트가 설치되는 동안, 악성 소프트웨어는 새 클라이언트가 봇넷에 통합되고 등록될 수 있도록 명령 및 제어 서버로 특정 매개변수를 보냅니다.

요약

- 최소 40만 대의 윈도우 시스템에 무단으로 프록시 서버 앱을 설치한 대규모 캠페인이 연구원들에 의해 발견되었다.
- 해당 악성 프록시 앱은 봇넷에 의해 조용히 설치되며, 디지털 서명이 적용되어 있어 안티 바이러스 검출을 피한다.
- 이러한 감염은 크랙된 소프트웨어와 게임 내의 로더의 실행으로 시작되어 사용자 인터랙션 없이 자동으로 프록시 애플리케이션을 다운로드, 설치한다.

Reference

https://www.bleepingcomputer.com/news/security/massive-400-000-proxy-botnet-built-with-stealthy-malware-infections/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*