새로운 악성 소프트웨어 캠페인, SourceForge 프로젝트를 악용해 암호화폐를 훔치고 사용자를 감시합니다

신규 악성 소프트웨어 캠페인이 오픈소스 소프트웨어 프로젝트를 호스팅하는 것으로 잘 알려진 신뢰할 수 있는 사이트인 SourceForge의 사용자들을 겨냥하고 있습니다.

Kaspersky의 연구원들이 가짜 프로젝트를 사용하여 사람들이 사무용 도구로 위장된 악성 파일을 다운로드하도록 속이는 계획을 발견했습니다.

가짜 프로젝트인 “officepackage”는 SourceForge 페이지에서 보면 무해해 보입니다. 또한, 그 설명은 GitHub의 실제 Microsoft Office 추가 기능 프로젝트에서 복사되었습니다. 그러나 관련된 officepackage.sourceforge.io 도메인은 가짜 오피스 앱과 “다운로드” 버튼이 있는 완전히 다른 웹사이트를 가리키고 있습니다.

연구자들은 이 페이지들이 검색 엔진에 의해 색인되어 검색 결과에서 합법적으로 보인다고 설명합니다. 하지만 유용한 소프트웨어 대신에, 사용자들은 헷갈리는 다운로드 페이지의 미로를 거쳐 결국 자신의 컴퓨터에 악성 소프트웨어를 설치하게 됩니다.

다운로드 받은 파일인 vinstaller.zip은 비밀번호로 보호된 아카이브와 크고 정당해 보이는 Windows 설치 프로그램을 포함한 숨겨진 도구들을 담고 있습니다. 하지만 이는 실제로는 사용자를 속이기 위해 쓸모없는 데이터로 가득 찬 것입니다. 실행되면, 이는 비밀리에 스크립트를 실행하여 GitHub로부터 파일을 다운로드하고, 악성 컴포넌트를 추출하며, 장치를 감시하기 시작합니다.

숨겨진 스크립트 중 하나는 피해자의 장치 상세 정보를 Telegram을 통해 공격자에게 보냅니다. 이에는 컴퓨터의 IP 주소, 사용자 이름, 안티바이러스 소프트웨어, 심지어 CPU 이름까지 포함됩니다.

이 악성 소프트웨어는 주로 두 가지 작업을 수행합니다: 우선, 공격자들이 디지털 화폐를 생성하기 위해 조용히 컴퓨터의 자원을 사용하는 암호화폐 마이너를 설치합니다.

두 번째로, 사용자가 암호화폐 지갑 주소를 복사하고 붙여넣기를 기다리는 ClipBanker라는 유형의 악성 소프트웨어를 설치합니다. 사용자가 그렇게 하면, 공격자가 소유한 지갑 주소로 교체하여 자금을 공격자에게 리디렉션합니다.

해당 악성 소프트웨어는 시스템에 머무르고, 재부팅 이후에도 자동으로 다시 시작하는 여러 방법을 사용합니다. 시스템 폴더에 숨기거나, 특별한 레지스트리 키를 추가하고, 가짜 윈도우 서비스를 생성하며, 심지어 시스템 업데이트 도구를 납치하기도 합니다.

안전을 유지하기 위해, 전문가들은 소프트웨어를 공식 출처에서만 다운로드 받을 것을 강력히 권고하고 있습니다. 해적판이나 비공식 다운로드는 항상 높은 감염 위험을 수반하기 때문입니다.