eSentire의 위협 대응 유닛(TRU)이 발견한 바에 따르면, 가짜 IT 지원 사이트들이 일반적인 윈도우 오류, 특히 수백만 명의 윈도우 사용자들이 1월부터 직면하고 있는 0x80070643 오류를 해결하겠다는 가짜 동영상을 만들어 유튜브 채널을 통해 홍보하고 있습니다. 이러한 오류는 윈도우 복구 환경(WinRE) 파티션의 공간이 부족하여 업데이트를 설치할 수 없는 경우에 CBS_E_INSUFFICIENT_DISK_SPACE 오류 메시지를 표시해야 하는데, 잘못된 오류 메시지인 '0x80070643 - ERROR_INSTALL_FAILURE'를 표시하고 있습니다. 이로 인해 많은 사용자들이 보안 업데이트를 설치하지 못하고, 윈도우 업데이트를 사용할 때마다 0x80070643 오류 메시지를 받게 되었습니다.
이러한 오류들은 많은 윈도우 사용자들로 하여금 온라인에서 해결책을 찾게 만들었고, 이를 위협 요소들이 이용하게 되었습니다. eSentire에 따르면, 위협 요소들은 일반적인 윈도우 오류, 특히 0x80070643 오류에 대해 도움을 주는 가짜 IT 지원 사이트를 수많이 만들고 있습니다. 이러한 사이트들은 PowerShell 스크립트를 복사하고 실행하거나 윈도우 레지스트리 파일의 내용을 가져오는 등의 '수정'을 제공하며, 어떤 '해결책'을 사용하든 PowerShell 스크립트가 실행되어 장치에 맬웨어를 다운로드합니다.
이러한 가짜 수정을 사용하면 윈도우가 재시작된 후 정보 도용 맬웨어가 실행됩니다. 한번 시작되면, 맬웨어는 사용자의 브라우저에서 저장된 자격 증명, 신용 카드, 쿠키, 브라우징 기록을 추출합니다. 또한, Vidar는 암호화폐 지갑, 텍스트 파일, Authy 2FA 인증 데이터베이스를 도용하고 사용자의 데스크톱 스크린샷을 찍을 수 있습니다. 이 데이터는 "로그"라는 아카이브에 컴파일되어 공격자의 서버에 업로드되며, 도난당한 데이터는 랜섬웨어 공격을 통한 다른 공격을 촉진하거나 다크 웹 마켓플레이스에서 다른 위협 요소들에게 판매됩니다. 그러나, 감염된 사용자는 이제 모든 계정이 침해되고 잠재적으로 금융 사기를 당할 수 있는 악몽에 직면하게 됩니다.
요약
- 가짜 IT 지원 사이트들이 윈도우 오류를 해결하겠다는 가짜 동영상을 만들어 유튜브 채널을 통해 홍보하고 있다.
- 이러한 사이트들은 PowerShell 스크립트를 복사하고 실행하거나 윈도우 레지스트리 파일의 내용을 가져오는 등의 '수정'을 제공하며, 어떤 '해결책'을 사용하든 PowerShell 스크립트가 실행되어 장치에 맬웨어를 다운로드한다.
- 이러한 가짜 수정을 사용하면 윈도우가 재시작된 후 정보 도용 맬웨어가 실행되며, 이 데이터는 "로그"라는 아카이브에 컴파일되어 공격자의 서버에 업로드된다.
- 도난당한 데이터는 랜섬웨어 공격을 통한 다른 공격을 촉진하거나 다크 웹 마켓플레이스에서 다른 위협 요소들에게 판매된다.
- 감염된 사용자는 이제 모든 계정이 침해되고 잠재적으로 금융 사기를 당할 수 있는 악몽에 직면하게 된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.