Guardio Labs와 Infoblox 연구자들이 "Vane Viper"라는 위협 행위자가 주도한 "DeceptionAds"라는 악성 작업을 발견했습니다. 이 작업은 Monetag 광고 네트워크를 이용해 하루에 100만 개 이상의 광고를 3000개의 웹사이트에 전파하며, 이를 통해 사용자들이 가짜 CAPTCHA 검증 페이지를 통해 PowerShell 명령을 실행하도록 유도하였습니다. 이 과정을 통해 Lumma Stealer라는 정보 도용 맬웨어가 사용자의 기기에 설치되었습니다.
Monetag 광고 네트워크는 가짜 제안, 다운로드, 서비스 등을 홍보하는 팝업 광고를 제공하며, 이를 클릭한 사용자는 BeMob 클로킹 서비스를 통해 가짜 CAPTCHA 페이지로 리디렉션됩니다. CAPTCHA 페이지에는 사용자가 알지 못하는 사이에 악성 PowerShell 명령을 사용자의 클립보드에 복사하는 JavaScript 스니펫이 포함되어 있습니다. 이후 페이지는 사용자에게 "CAPTCHA 해결책"을 Windows Run 대화 상자에 붙여넣어 실행하는 방법을 안내합니다. 이 단계에서 PowerShell 명령이 실행되어 Lumma Stealer가 원격 서버에서 다운로드되고 사용자의 기기에서 실행됩니다.
Lumma Stealer는 Google Chrome, Microsoft Edge, Mozilla Firefox 등의 브라우저에서 쿠키, 자격 증명, 비밀번호, 신용카드 정보, 브라우징 기록 등을 도용하는 고급 정보 도용 맬웨어입니다. 또한, 암호화폐 지갑, 개인 키, 민감한 정보가 포함될 가능성이 있는 텍스트 파일도 도용할 수 있습니다. 이 데이터는 아카이브에 수집되어 공격자에게 전송되며, 공격자는 이 정보를 추가 공격에 사용하거나 사이버 범죄 시장에서 판매할 수 있습니다.
요약
- Guardio Labs와 Infoblox 연구자들이 "Vane Viper"라는 위협 행위자가 주도한 "DeceptionAds"라는 악성 작업을 발견하였다.
- 이 작업은 Monetag 광고 네트워크를 이용해 하루에 100만 개 이상의 광고를 3000개의 웹사이트에 전파하였다.
- 사용자들이 가짜 CAPTCHA 검증 페이지를 통해 PowerShell 명령을 실행하도록 유도하였고, 이를 통해 Lumma Stealer라는 정보 도용 맬웨어가 사용자의 기기에 설치되었다.
- Lumma Stealer는 브라우저에서 쿠키, 자격 증명, 비밀번호, 신용카드 정보, 브라우징 기록 등을 도용하는 고급 정보 도용 맬웨어다.
- 이 데이터는 아카이브에 수집되어 공격자에게 전송되며, 공격자는 이 정보를 추가 공격에 사용하거나 사이버 범죄 시장에서 판매할 수 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.