ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
Windows 블루스크린(또는 블랙스크린)은 일반적으로 복구할 수 없는 오류나 충돌이 발생했다는 신호입니다. 이제 사이버 범죄자들은 사람들을 속여 악성 코드를 실행하도록 하는 방법으로 무서운 BSOD를 사용하고 있습니다.
사이버 보안 회사인 Securonix가 추적한 새로운 악성 코드 캠페인에서 공격자는 ClickFix 사회 공학, 가짜 CAPTCHA 및 가짜 BSOD를 사용하여 피해자가 악성 코드를 복사하여 붙여넣도록 유도하고 있습니다. 이 코드가 실행되면 범죄자가 원격으로 PC를 장악하고 추가 악성코드를 배포할 수 있도록 하는 러시아어 연결 RAT(원격 액세스 트로이 목마)를 배포합니다.
추가 정보: Windows 11을 설치한 후 항상 하는 9가지 작업과 여러분도 수행해야 하는 이유
호텔 및 숙박 산업을 겨냥한 PHALT#BLYX라는 캠페인은 Securonix에 의해 피해자를 일련의 단계로 안내하는 다단계 감염 체인으로 설명합니다.
공격은 온라인 여행사인 Booking.com으로 가장한 가짜 웹사이트 링크가 포함된 피싱 이메일로 시작됩니다. 이메일에는 수신자가 예약에 참여하도록 설득하기 위해 예약 예약을 취소하라는 요청이 표면적으로 포함되어 있습니다. 사이트 링크를 선택하면 가짜 BSOD를 실행하는 가짜 CAPTCHA 프롬프트가 포함된 페이지가 표시됩니다.
여기에서 캠페인은 코드를 복사하여 붙여넣거나 시스템에서 특정 명령을 실행하여 사람들을 속여 자신을 감염시키는 것을 목표로 하는 악명 높은 ClickFix 전술로 전환됩니다. 이 경우 수신자에게 악성 스크립트를 복사하여 Windows 실행 대화 상자에 붙여넣어 BSOD를 수정하라는 메시지가 표시됩니다.
ClickFix 전술에 빠지면 v.proj라는 MSBuild 프로젝트 파일을 다운로드하고 실행하는 PowerShell 명령이 실행됩니다. 이 시점에서 맬웨어는 Windows Defender를 비활성화하여 탐지되지 않은 상태로 진행할 수 있을 만큼 똑똑합니다. 또한 시작 폴더에 URL을 설정하여 지속성을 설정하므로 Windows가 시작될 때마다 자동으로 로드됩니다.
또한: 이 새로운 사이버 공격은 사용자를 속여 자신을 해킹하도록 합니다. 그것을 발견하는 방법은 다음과 같습니다
피해자가 여기까지 미끼를 물었다면 최종 페이로드는 DCRat의 난독화된 버전이 됩니다. 이 트로이 목마는 원격 액세스를 설정하고, 키 입력을 기록하고, 합법적인 프로세스를 통해 악성 코드를 실행하고, 보조 페이로드를 설치할 수 있습니다.
공격자들은 이 캠페인을 성공시키기 위해 몇 가지 요소에 베팅했습니다. 첫째, 호텔 업계가 일반적으로 바쁜 휴가철에 출시했습니다. 둘째, 과거에 악용된 적이 있으며 여전히 사기꾼들 사이에서 인기가 높은 사이트인 Booking.com을 악용합니다.
피싱 이메일에는 객실 요금이 유로로 표시되어 있으며, 이는 공격이 유럽의 호텔 및 유사한 기업을 표적으로 삼고 있음을 나타냅니다. "v.project" MS 빌드 파일에 러시아어가 포함되어 있으면 캠페인이 DCRat을 사용하는 러시아 공격자와 연결됩니다.
캠페인은 호텔 업계를 대상으로 하기 때문에 일반 가정 사용자는 영향을 받을 가능성이 없습니다. 그러나 십자선에 있는 조직과 개인을 위해 Securonix는 위협에 맞서기 위해 다음과 같은 팁을 제공합니다.