비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

광고 페이지 악용한 프록시재킹 공격 주의

IP
2025.01.17. 08:51:50
조회 수
121
7
댓글 수
12

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


안랩은 최근 프리웨어 소프트웨어 사이트의 광고 페이지를 통해 프록시웨어(Proxyware)가 설치되는 것을 확인했다프록시웨어는 넷링크 커넥트(Netlink Connect)’라는 인증서로 서명됐지만분석 결과 과거 프록시재킹(Proxyjacking) 공격 캠페인에서 악용된 디지털 펄스(Digitalpulse) 프록시웨어와 동일한 것으로 밝혀졌다


정상 프로그램이 설치되는 과정에서 광고 페이지를 통해 토클리커(AutoClicker)’는 위장 프로그램이 설치될 수 있으며최종적으로 설치되는 프록시웨어는 사용자의 네트워크 대역폭을 탈취한다관련 사례를 좀 더 자세히 살펴보자.



1. 프록시재킹 공격

먼저, 프록시재킹 공격이란 사용자의 동의 없이 프록시웨어를 설치해 감염 대상 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식이다. 프록시웨어란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램으로, 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 만약 공격자가 사용자의 동의 없이 감염 대상 시스템에 프록시웨어를 몰래 설치할 경우, 감염된 시스템은 비자발적으로 네트워크 대역폭을 탈취당하게 되며, 수익은 공격자에게 돌아가게 된다. 이는 크립토재킹 공격과 유사한데, 프록시웨어 대신 코인 마이너를 설치해 감염 대상 시스템의 자원으로 암호화폐를 채굴한다는 점이 크립토재킹과 다르다.


프록시재킹 공격은 다른 여러 보안 업체들에 의해서도 보고되고 있다. 프록시재킹 공격 사례에서 악용되는 프록시웨어로는 IPRoyal, Peer2Profit, Traffmonetizer, Proxyrack, PacketStream 등이 있다. 이 외에도 2023년에는 레벨블루(LevelBlue)사에서 디지털 펄스라는 이름의 프록시웨어를 설치하는 프록시재킹 공격 캠페인을 소개하기도 했는데, 최소 40만 대 이상의 윈도우 시스템을 감염시킨 것으로 알려졌다.


이번에 확인된 프록시재킹 공격에서도 디지털 펄스 프록시웨어가 설치됐다. 다만, 이번에는 “넷링크 커넥트”라는 이름으로 서명된 점이 과거와 조금 다르다.


2. 광고 페이지를 통한 유포

현재 공격 사례에서 악성코드는 프리웨어인 특정 유튜브 다운로더 프로그램의 홈페이지를 거쳐 설치됐다. [그림 1]과 같은 다운로드 페이지에 처음 접속한 후 웹 페이지를 클릭하면 광고 페이지가 팝업되며, 랜덤한 확률로 여러 PUP 및 악성코드, 광고 페이지로 리다이렉트된다.


[그림 1] 악성코드 유포에 사용된 프리웨어 웹 페이지


악성코드는 [그림 2]의 좌측 다운로드 페이지에서 다운로드되거나 우측의 루마C2(LummaC2)를 유포하는 페이지로 리다이렉트되기도 한다.


[그림 2] 악성코드를 유포하는 팝업 페이지


참고로 루마C2는 클립보드에 악성코드 다운로드 명령을 저장한 후 사용자로 하여금 실행하도록 하는 피싱 기법이다. 실행 창에서는 CAPCHA와 관련된 내용만 보이지만, 실제로는 mshta를 이용해 외부에서 악성 자바스크립트를 다운로드하고 실행하는 명령이다. 이전 사레에서는 피싱 메일의 첨부 파일로 유포됐지만, 이번 사례에서는 광고 페이지를 통해 유포되는 것으로 확인됐다.


[그림 3] 클립보드에 저장된 루마C2를 설치하는 실제 명령


* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35755

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
영진위 영화관입장권 통합전산망 제공 2/16~22 주간 개봉 예정작 정보입니다. (2)
현재 gpt o3보다 나은 미국 코더는 7명뿐 (2)
20만원 받고 쏘카 명의 빌려준 33살 (4)
전국 흐리고 포근 일부 지역 비 (3)
2월 14일 박스오피스 (4)
샐러드 먹었네요..... (4)
어려운 출석... (4)
요즘 아시안게임 보는 맛에 푹 (3)
란마 신작이 불호가 많은 이유 (3)
런닝맨에 권은비 나오는걸 봤네요 (5)
주말이네요 (3)
[오늘의 새] 장다리물떼새 (4)
메시 보디가드 클라스 (7)
기온이 많이 오른 하루 (3)
또 다시 주말입니다 (4)
까마귀가 독수리만한 듯 (7)
마시는 요구르트 한 팩을 사왔습니다. (6)
위대한개츠비 책 명언 명대사 모음 인상깊은 구절 글귀
날씨가 좀 풀리니까 산책하기 좋네요 (6)
피곤하니 의욕이 떨어지네요. (8)
이 시간 HOT 댓글!
1/4