‘사랑스러운 사진’ 파일에 숨겨진 악성 소프트웨어, 로맨스 사기 주의하세요

새로운 사이버 공격이 독일어 사용자를 대상으로 성인 테마의 로맨스 사기로 말미암아, 비밀리에 악성 소프트웨어를 전달하고 있습니다.

Sublime Security에 따르면, 공격자들은 로맨틱한 이메일로 피해자를 유인하기 위해 두 개의 속임수 링크를 사용합니다.

첫 번째 링크는 비디오 미리보기 이미지처럼 보이지만, 두 번째 링크는 위장된 아카이브 파일로 이어집니다. 클릭하면 시스템은 사용자가 독일에 있는지 확인합니다. 그렇다면, 러시아 서버에서 300MB의 ISO 파일을 다운로드합니다.

연구자들은 공격자들이 Keitaro TDS라는 상업용 트래픽 분배 시스템을 사용하여 이 악의적인 캠페인을 통해 사용자들을 근무 시간 동안 공격한다고 설명합니다.

“케이타로는 컴퓨터의 많은 특성을 볼 수 있어, 요청을 하고 연결 경로를 제공합니다,”라고 서블라임이 설명했다. 이런 세밀한 정밀도는 성공 확률을 높여줍니다.

한번 다운로드되면, ISO 파일은 그 크기를 부풀려 탐지를 회피합니다. 마운트하면 ‘lovely_photos.exe’라는 파일과 비밀번호가 적힌 텍스트 파일이 나타납니다. 이 파일을 실행하면 사용자에게 해당 비밀번호를 요구하며, 이것이 선정적인 이미지와 여러 악성 파일의 추출을 유발합니다.

이 멀웨어는 안티바이러스 소프트웨어를 우회하도록 설계된, 굉장히 잘 숨겨진 스크립트를 실행하기 위해 AutoIt 인터프리터를 만들어냅니다. “최종 AutoIt 스크립트는 대단히 난독화되어 […] 11,500 줄 이상의 코드가 있습니다,”라고 Sublime은 지적했습니다. 이 스크립트는 DragonMapper라는 이름의 예약된 Windows 작업으로 자신을 설치하여, 사용자가 로그인할 때마다 멀웨어가 실행되도록 보장합니다.

이 캠페인은 소셜 엔지니어링 공격의 세련도가 증가하고 있는 것을 강조하며, 현재 위협 요인들이 AutoIt과 Keitaro TDS와 같은 합법적인 도구와 어른들을 대상으로 한 사기 기법, 그리고 분석 대응 기법을 결합하여 감지되지 않고 있음을 보여줍니다.