
Image by ELLA DON, from Unsplash
맬웨어 캠페인, 오래된 디스코드 링크를 해킹하여 암호화폐 사용자를 공격합니다
해커들이 만료된 디스코드 초대 링크를 가로채서 사용자들을 속여 암호화폐 지갑을 훔치고 브라우저 보안 도구를 우회하는 악성 소프트웨어 감염에 빠뜨립니다.
급하신가요? 여기 빠른 사실들을 요약해봤습니다:
- 가짜 디스코드 검증 봇을 통해 피싱 사이트로 피해자들이 리디렉션됩니다.
- GitHub과 Pastebin 같은 신뢰할 수 있는 플랫폼에서 맬웨어가 다운로드됩니다.
- AsyncRAT와 Skuld Stealer는 암호화폐 지갑과 민감한 사용자 데이터를 대상으로 합니다.
CheckPoint 연구팀에 따르면, 사이버 범죄자들이 만료된 Discord 초대 링크를 사용하여 사용자들을 악성 서버로 유도하고 있으며, 이로 인해 고급 악성 소프트웨어 감염이 발생하고 있다고 합니다.
공격자들이 신뢰할 수 있는 커뮤니티에 속해 있던 이전 초대 링크를 해킹하여 사용자들을 가짜 디스코드 서버로 유도합니다. 이런 가짜 디스코드 서버들은 사용자들에게 AsyncRAT와 Skuld Stealer를 포함한 위험한 악성 소프트웨어, 그리고 암호화폐 지갑을 대상으로 하는 악성 소프트웨어를 다운로드하도록 속입니다.
공격자들은 임시 및 영구 링크 기능을 모두 사용하여 디스코드가 초대 링크를 생성하는 방식을 악용합니다. 공격자들은 버려진 링크에 접근하여 그것을 다시 주장하고 해로운 디스코드 서버를 설정합니다.
이렇게 하면, 소셜 미디어의 유효한 초대장이나 오래된 게시물을 클릭하는 사용자들이 자동적으로 해커가 제어하는 악성 서버로 이동하게 됩니다.
이런 가짜 서버 안에서 사용자들은 “Safeguard”라는 봇과 마주치게 되는데, 이 봇은 가짜 인증 과정을 제시합니다. 사용자들이 인증 과정을 시작하면, 그들은 피싱 웹사이트에 접속하게 되며, 이 웹사이트에서는 위험한 PowerShell 명령어를 실행합니다.
해당 명령어는 GitHub에서 악성 소프트웨어를 검색하며, 또한 Bitbucket 및 Pastebin 플랫폼에서도 검색합니다. 이를 통해 작업이 표준 웹 트래픽에 묻히도록 만듭니다.
악성 코드는 탐지 시스템을 피하기 위해 여러 단계를 실행합니다. GitHub 링크는 PowerShell 스크립트의 첫 다운로드 대상으로 작용합니다. 로더는 Bitbucket에서 암호화된 악성 코드를 검색한 후 사용자의 컴퓨터 시스템에 설치할 수 있도록 복호화합니다.
마지막 페이로드인 AsyncRAT와 Skuld Stealer는 공격자가 원격에서 시스템을 제어하고, 사용자 인증 정보와 함께 Exodus와 Atomic 애플리케이션에서 암호화폐 지갑 세부 정보를 훔치는 데 이용됩니다. 이 맬웨어는 자동 보안 시스템을 회피하기 위해 최대 15분까지의 시간 지연을 구현합니다.
또한, 사이버 공격자들은 Google Chrome의 App Bound Encryption으로부터 제공되는 쿠키에 대한 보호를 우회하는 방법을 발견했습니다. 공격자들은 Chrome, Edge, Brave 브라우저 메모리에서 로그인 쿠키를 직접 추출할 수 있도록 ChromeKatz를 수정했습니다.
공격은 미국 전역의 사용자들을 대상으로 하였으며, 베트남, 프랑스, 독일 등 다른 국가들도 포함되었습니다. 공격자들은 자신들의 악성 소프트웨어가 지갑 인증 정보와 복구 문구를 특정으로 대상으로 하기 때문에 암호화폐 사용자들을 대상으로 하는 것으로 보입니다.
연구자들은 디스코드가 이번 캠페인에서 사용된 특정 봇을 비활성화하더라도 사이버 범죄자들이 새로운 방법을 개발할 것이라고 믿습니다. 사용자들은 구식 디스코드 초대를 피하고, 인증 요청에 대해 조심스럽게 대응하며, 최신의 안티바이러스 소프트웨어를 유지함으로써 이러한 공격으로부터 자신들을 보호해야 합니다.