[News/Hacking Exploit Issue]
크롬 업데이트로 위장한 악성코드 주의

2020. 3. 31. 16:36


웹 전문가들은 Chrome Browser의 가짜 업데이트가 해커로부터 제작된 WordPress(블로그 오픈소스 엔진)사이트를 통해 배포되고있다고 경고했다. 따라서 해당 WordPress 사이트 페이지 코드의 Javascript가 방문자들에게 Chrome Browser의 중요한 보안 업데이트가 있다고 속여 가짜 백도어 프로그램을 다운로드 하도록 유도한다.

해당 악성 백도어에 감염되면 공격자는 감염자 PC의 제어 권한을 획득할 수 있다.

현재 약 2000명정도가 해당 가짜 업데이트를 다운로드했다고 파악하고있다.

연구진에 따르면, 해당 공격을 하고있는 해커 그룹은 일전에 VSDC 비디오 편집 프로그램의 가짜 설치 프로그램을 배포했던 동일한 해커 그룹으로 확인된다.

Chrome Browser를 사용하며, 미국, 캐나다, 호주, 영국, 이스라엘 및 터키의 인터넷 사용자를 대상으로 해당 악성코드가 확산되고있다.

감염 메커니즘은 다음과 같이 구현되어있다.
1. 백도어가 실행된다.
2. TeamViewer의 원격 관리를 위한 유틸리티 파일이 들어있는 폴더가 %userappdata% 디렉토리에 생성되며, 두 개의 SFX 보호 아카이브가 압축 해제된다.
3. 아카이브 중 하나는 감염된 컴퓨터와의 무단 연결을 설정하고 Google 시작 페이지 [.] Com으로 Chrome Browser를 시작하는 배치 파일을 허용하는 악의적인 msi.dll 라이브러리가 존재한다.
4. Windows OS에 기본내장된 바이러스 백신을 무력화하기 위해 두 번째 아카이브에서 스크립트가 추출된다.
5. 악의적인 msi.dll 라이브러리는 TeamViewer 프로세스에 의해 메모리에 로드되어 자신을 숨긴다.

해당 백도어의 실질적 기능은 다음과 같다.

Key Logging
Infostiller Predator The Thief
RDP(Remote Desktop)를 통한 원격 제어

내용 출처 - Easyhack.in

  • 프로필사진
    zalrae2020.03.31 16:50

    결국 파일다운로드를 유도하는 사회공학적인 기법이라.... 정식홈페이지에서만 다운 받으면 될텐데 말이죠 안타깝군요

    • 프로필사진
      root@ X3ros2020.03.31 18:13 신고

      사회공학 + 자바스크립트로 크롬 알림인것처럼 띄워서 속이는것같아요

  • 프로필사진
    drehzr2020.03.31 21:15

    좋은정보 감사합니다 . . 해킹은 무섭네요 .

  • 프로필사진
    Dee K2020.03.31 23:09 신고

    크롬에서 알려주는 업뎃만 하면 안전한 건가요?

    • 프로필사진
      root@ X3ros2020.04.01 05:51 신고

      네 크롬 브라우저 설정에 들어가셔서 하시는 업데이트는 안전합니다.

      자바스크립트로 크롬 브라우저 자체 알림인것처럼 속이는거라 이것만 주의하시면 됩니다.