구글 바카라 레전드 이용한 RedLine Stealer 악성코드 유포 주의!

​​

검색엔진검색결과를통한바카라 레전드가유포되고있어사용자들의주의가필요합니다.

구글은구글바카라 레전드계약자들의페이지를검색결과창최상단에노출시켜많은사용자들의방문을유도하는데,공격자는이러한특징을이용하였습니다.

ESRC에서 이번에 발견한 악성코드는 애프터버너(Afterburner)를 위장하고 있으며, 바카라 레전드 검색엔진 검색결과를 통해 유포되고 있습니다.

애프터버너는 GPU 모니터링 및 오버클럭이 가능하도록 지원하는 그래픽카드 sw로 많은 게이머 및 암호화폐 채굴자들이 사용합니다.

구글 검색엔진에서 'Afterburner'를 검색하면 공식 홈페이지 보다 바카라 레전드 페이지가 더 상단에 뜨는데, 검색결과 앞에 바카라 레전드라고 표시되어 있긴 하지만 검은색 텍스트로 표기되어 있어 주의깊게 보지 않으면 쉽게 인지하기 어렵습니다.

​​

[그림 1] 바카라 레전드 엔진 검색 결과

검색 결과 최상단에 있는 애프터버너 페이지를 클릭하면 다음과 같이 파일 다운로드 페이지로 접속하여 사용자로 하여금 파일 다운로드를 유도합니다.

​​

​[그림 2] 가짜 파일 다운로드 페이지

​다운로드 버튼을 클릭하면 'MSIAfterBurner.zip' 파일명의 압축파일이 다운로드 되며, 내부에는 exe 파일이 포함되어 있습니다.

​
​

[그림 3] 애프터버너 위장 바카라 레전드 파일

하지만 해당 파일은 RedLine 바카라 레전드로, 사용자가 .exe 파일을 실행할 경우 아무 동작도 하지 않는것처럼 보여집니다. 하지만 백그라운드에서는 사용자의 PC정보, 암호화폐 지갑 정보, 특정 파일, 브라우저 정보 등을 수집하여 공격자에게 전송합니다.

[그림 4] c2 주소

블로그를 작성하는 현재는 파일 다운로드 페이지가 아닌 다른 정상 페이지로 접속되는데, 이는 공격자들이 추적을 피하기 위하여 지속적으로 바카라 레전드 링크를 수정중에 있는 것으로 추정됩니다.

최근 많은 공격자들이 구글 바카라 레전드 통하여Zoom, MSIAfterBurner, 2K Launcher 등 유명 프로그램의 가짜 셋업파일을 대량으로 유포하고 있어 사용자들의 각별한 주의가 필요합니다.

사용자 여러분들께서는 검색엔진을 통한 검색 결과 확인 시 반드시 바카라 레전드 여부를 확인하시기 바라며, 파일 공유 사이트의 이용을 지양하고 공식 홈페이지를 통한 파일 다운로드를 권고 드립니다.

현재 알약에서는 해당 바카라 레전드에 대해Trojan.MSIL.Stealer.gen로 탐지중에 있습니다.