지난 수십 년 동안 보안 실무자들이 제공한 조언 중 하나는 평판이 좋은 사이트에서만 소프트웨어를 다운로드해야 한다는 것입니다. 컴퓨터 보안 조언에 관한 한 이것은 실행하기가 상당히 간단해야 하는 것 같습니다.

그러나 그러한 조언이 널리 공유되는 경우에도 사람들은 여전히 ​​평판이 좋지 않은 곳에서 파일을 다운로드하고 그 결과 손상을 입습니다. 저는 지금까지 수십 년 동안 Neowin의 독자였으며 거의 ​​그만큼 오랫동안 포럼의 회원이었습니다. 하지만 제가 온라인으로 참여하는 유일한 곳은 아닙니다. 저는 XNUMX년이 조금 넘게 일반적인 컴퓨팅 지원과 맬웨어 제거에 대한 보다 구체적인 조언을 제공하는 몇 개의 Reddit 포럼(하위 레딧)을 중재하기 위해 자원봉사를 해왔습니다. 해당 하위 레딧에서 저는 손상된 컴퓨터의 낙진으로부터 복구를 시도하는 사람들을 계속해서 도왔습니다. 오늘날의 공격은 일반적으로 금전적인 동기가 있지만 예상치 못한 다른 결과도 있습니다. 나는 이것이 Reddit의 사용자에게 고유한 것이 아니라고 말해야 합니다. 이러한 유형의 질문은 제가 자발적으로 시간을 내는 다양한 Discord 서버의 온라인 채팅에서도 나옵니다.

한 가지 지적해야 할 점은 Discord와 Reddit 서비스 모두 Twitter 및 Facebook과 같은 소셜 미디어 사이트보다 젊은 층에 편중되어 있다는 것입니다. 나는 또한 그들이 평균적인 WeLiveSecurity 독자보다 젊다고 생각합니다. 이 사람들은 디지털 교육을 받으며 자랐고 취학 전부터 사용할 수 있는 안전한 컴퓨팅 관행에 대한 조언과 토론을 접할 수 있었습니다.

통신 장애

컴퓨터와 컴퓨터 보안에 대한 정보와 함께 성장했다는 이점이 있음에도 불구하고 이 사람들이 특정 패턴의 공격에 희생된 이유는 무엇입니까? 그리고 정보 보안 실무자 입장에서 우리가 사람들에게 지시하는 것(또는 경우에 따라 하지 않는 것)과 그들이 하고 있는 것(또는 다시 말하지만 하지 않는 것) 사이에 단절이 정확히 어디에서 발생합니까?

때때로 사람들은 자신이 더 잘 알고 있음을 공개적으로 인정하지만 신뢰할 수 없다는 것을 알면서도 소프트웨어의 출처를 신뢰하는 "멍청한 짓"을 했습니다. 하지만 때로는 신뢰할 수 있는 것처럼 보였지만 그렇지 않았습니다. 그리고 다른 경우에는 본질적으로 신뢰할 수 없는 경우에도 맬웨어의 소스를 신뢰할 수 있는 것으로 매우 명확하게 지정했습니다. 컴퓨터가 손상되는 가장 일반적인 시나리오를 살펴보겠습니다.

• 그들은 친구가 작성하고 있는 게임에 대한 피드백을 요청하는 온라인 친구 "로부터" Discord를 통해 비공개 메시지를 받았습니다. 온라인 친구가 작성하고 있던 "게임"은 암호로 보호된 .ZIP 파일에 있었으며 실행하기 전에 다운로드하고 암호로 압축을 풀어야 했습니다. 불행하게도 친구의 계정은 이전에 도용되었고 공격자는 이제 이를 악용하여 악성 소프트웨어를 퍼뜨리고 있었습니다.
• 그들은 Google을 사용하여 수색 사용하고 싶었던 상용 소프트웨어 패키지의 경우 무료 또는 크랙 버전을 찾고 있다고 지정하고 검색 결과의 웹사이트에서 다운로드했습니다. 항상 상용 소프트웨어는 아닙니다. 최근에는 무료 또는 오픈 소스 프로그램도 악성 광고(멀버타이징)의 표적이 되었습니다. 캠페인 Google Ads를 사용합니다.
• 유사하게, 그들은 상용 소프트웨어 패키지의 무료 또는 크랙 버전을 다운로드하는 방법에 대한 비디오를 YouTube에서 검색한 다음 비디오에 언급되거나 댓글에 나열된 웹 사이트로 이동하여 다운로드했습니다.
• 그들은 불법 복제 소프트웨어를 전문으로 하는 잘 알려진 사이트에서 소프트웨어를 토렌트했습니다.
• 그들은 XNUMX년 넘게 활동한 개인 추적기, Telegram 채널 또는 Discord 서버에서 소프트웨어를 토렌트했습니다.

나는 이것이 사람들이 맬웨어를 실행하도록 속인 유일한 수단이 아니라는 점을 지적하고 싶습니다. WeLiveSecurity는 최근 사용자를 속이는 것과 관련된 몇 가지 주목할만한 사례를 보고했습니다.

• 한 가지 주목할만한 사례에서, 크립토시블, 체코 및 슬로바키아 사용자를 대상으로 하는 암호화폐 관련 악성코드는 인기 있는 로컬 파일 공유 서비스를 통해 확산되어 불법 복제 게임 또는 다운로드 가능한 콘텐츠 관련이 없는 두 번째 사례에서는 동남아시아와 동아시아의 중국어 사용자가 Firefox 웹 브라우저, 인기 메시징 앱인 Telegram 및 WhatsApp과 같은 인기 있는 애플리케이션에 대한 중독된 Google 검색 결과의 표적이 되어 트로이 목마를 설치했습니다. 포함하는 버전 치명적 쥐 원격 액세스 트로이 목마.

이러한 시나리오가 어떤 식으로든 서로 비슷해 보이나요? 파일을 받는 다양한 방법에도 불구하고(찾아내기 대 질문 받기, 검색 엔진, 비디오 사이트 또는 불법 복제 사이트 등 사용) 모두 한 가지 공통점이 있습니다. 바로 신뢰를 이용했다는 것입니다.

안전한(r) 다운로드

보안 실무자가 파일 다운로드에 대해 이야기할 때 만 평판이 좋은 웹사이트에서 우리는 종종 대중에게 그들에 대해 교육하는 일의 절반만 하고 있는 것 같습니다. 뭐 처음부터 사이트를 다운로드하기에 안전한 이유를 설명하지 않고 이동해야 하는 사이트(당연히 평판이 좋은 사이트)입니다. 팡파르 없이 여기 브랜드 다음에서 소프트웨어를 다운로드할 수 있는 것으로 알려진 사이트:

• 저자나 게시자의 사이트 또는 이들이 명시적으로 승인한 사이트에서만 소프트웨어를 직접 다운로드해야 합니다.

그리고 그게 다야! 오늘날의 소프트웨어 세계에서 게시자의 사이트는 역사적으로 그랬던 것보다 조금 더 유연할 수 있습니다. 예, 게시자의 사이트와 동일한 도메인 이름을 가진 사이트일 수 있지만 파일이 GitHub, SourceForge, 타사에서 운영하는 콘텐츠 전송 네트워크(CDN)에서 호스팅되는 소스 등에 있을 수도 있습니다. . 게시자가 명시적으로 업로드했기 때문에 여전히 게시자의 사이트입니다. 경우에 따라 게시자는 추가 다운로드 사이트에 대한 추가 링크도 제공합니다. 이것은 호스팅 비용을 지불하고, 다른 지역에서 더 빠른 다운로드를 제공하고, 세계의 다른 지역에서 소프트웨어를 홍보하는 등 다양한 이유로 수행됩니다. 이것들도 역시 공무원 저자나 게시자가 특별히 승인한 사이트를 다운로드하십시오.

소프트웨어 리포지토리 역할을 하는 사이트와 서비스도 있습니다. SourceForge 및 GitHub는 오픈 소스 프로젝트를 호스팅하는 인기 있는 사이트입니다. 셰어웨어 및 상업용 소프트웨어 평가판의 경우 최신 버전을 다운로드할 수 있도록 전문적으로 나열하는 수많은 사이트가 있습니다. 이러한 다운로드 사이트는 한 곳에서 소프트웨어를 찾는 큐레이터 역할을 하므로 새 소프트웨어를 쉽게 검색하고 발견할 수 있습니다. 그러나 어떤 경우에는 더 어두운 면도 있을 수 있습니다. 이러한 사이트 중 일부는 소프트웨어 래퍼 찾고 있던 프로그램 외에 추가 소프트웨어를 설치하라는 메시지를 표시할 수 있는 다운로드한 파일 주변. 이러한 프로그램 번들러는 연결된 소프트웨어와 전혀 관련이 없는 작업을 수행할 수 있으며 실제로 설치할 수 있습니다. 잠재적으로 원치 않는 응용 프로그램 (PUA)를 컴퓨터에 연결합니다.

주의해야 할 다른 유형의 사이트는 Box, Dropbox 및 WeTransfer와 같은 파일 보관함 서비스입니다. 이들은 모두 매우 합법적인 파일 공유 서비스이지만 위협 행위자에 의해 악용될 수 있습니다. 사람들은 서비스를 신뢰할 수 있기 때문에 여기에서 다운로드한 프로그램이 안전하다고 생각할 수 있습니다. 반대로 데이터 유출을 확인하는 IT 부서는 합법적인 서비스로 알려진 개인 정보 및 자격 증명이 포함된 파일의 업로드를 무시할 수 있습니다.

검색 엔진과 관련하여 검색 결과를 해석하는 것은 경험이 없거나 참을성이 없는 사람들에게는 까다로울 수 있습니다. Bing, DuckDuckGo, Google, Yahoo 등 모든 검색 엔진의 목표는 가장 정확하고 최상의 결과를 제공하는 것이지만 핵심 비즈니스는 종종 광고를 중심으로 합니다. 즉, 검색 엔진 결과 페이지 상단의 결과는 종종 가장 정확하고 최상의 결과가 아니라 유료 광고입니다. 많은 사람들이 광고와 검색 엔진 결과의 차이를 알아차리지 못하며, 범죄자들은 ​​광고 공간을 구매하여 사람들을 피싱 및 기타 바람직하지 않은 활동과 맬웨어에 사용되는 웹 사이트로 리디렉션하는 악성 광고 캠페인을 통해 이를 악용합니다. 경우에 따라 범죄자는 다음을 사용하여 도메인 이름을 등록할 수 있습니다. 타이포 스쿼팅 또는 비슷하게 생긴 최상위 도메인 example.com 대 examp1e.com과 같이 언뜻 눈에 잘 띄지 않게 웹사이트 주소를 표시하기 위해 소프트웨어 게시자의 주소로 변경합니다(문자 "l"이 두 번째 도메인에서 숫자 "1"로 해제된 방식에 유의하십시오). .

소프트웨어의 무료 및 평가판 버전을 다운로드할 수 있는 합법적이고 안전한 장소가 많다는 점을 지적하겠습니다. 이러한 장소는 게시자의 자체 다운로드에 연결되어 있기 때문입니다. 이에 대한 예는 이 기사의 원래 버전이 작성된 Neowin입니다. 네오윈스 소프트웨어 다운로드 섹션은 어떤 유형의 불성실한 행동에도 관여하지 않습니다. 모든 다운로드 링크는 게시자의 자체 파일이나 웹 페이지로 직접 이동하므로 Neowin은 새 소프트웨어를 찾을 수 있는 신뢰할 수 있는 소스가 됩니다. 소프트웨어 게시자의 다운로드로 직접 연결되는 또 다른 평판이 좋은 사이트는 MajorGeeks로, XNUMX년 넘게 거의 매일 다운로드 목록을 제공하고 있습니다.

직접 다운로드를 하면 해당 소프트웨어를 작성한 회사(또는 개인)로부터 소프트웨어를 받을 수 있지만 반드시 맬웨어가 없다는 의미는 아닙니다. 소프트웨어 패키지에 악성 소프트웨어가 포함된 경우가 있었습니다. 무의식적으로 or 그렇지 않으면. 마찬가지로 소프트웨어 게시자가 잠재적으로 원하지 않는 응용 프로그램이나 애드웨어를 소프트웨어와 함께 번들로 제공하는 경우 해당 사이트에서 직접 다운로드하여 받을 수 있습니다.

Apple App Store, Google Play 스토어, Microsoft의 Windows App 스토어 등과 같이 운영 체제 공급업체에서 운영하는 다양한 애플리케이션 소프트웨어 스토어에 특별한 고려가 적용되어야 합니다. 사람들은 이러한 사이트가 평판이 좋은 다운로드 사이트라고 가정할 수 있으며, 대부분은 사실이지만 100% 보장할 수는 없습니다. 부도덕한 소프트웨어 작성자가 앱 스토어의 심사 프로세스를 우회하여 스파이웨어, 디스플레이, 애드웨어가 포함된 심각한 광고 및 기타 원치 않는 동작에 관여합니다. 이러한 앱 스토어는 이러한 소프트웨어를 스토어에서 제거할 수 있을 뿐만 아니라 문제가 있는 장치에서 원격으로 제거할 수 있는 기능이 있어 몇 가지 해결책을 제공합니다. 그러나 소프트웨어를 사용할 수 있게 된 후 며칠 또는 몇 주(또는 그 이상)가 걸릴 수 있습니다. 공식 스토어에서만 앱을 다운로드하더라도 기기를 보호할 보안 소프트웨어가 기기에 설치되어 있어야 합니다.

기기 제조업체, 소매업체 및 서비스 제공업체는 자체 앱 스토어를 기기에 추가할 수 있습니다. 그러나 이들은 앱을 원격으로 제거하는 기능이 없을 수 있습니다.

관련된 맬웨어 정보

이 모든 것을 염두에 두고 멀웨어가 영향을 받는 컴퓨터에서 정확히 무엇을 했는지 궁금할 것입니다. 서로 다른 종류의 맬웨어가 관련되어 있고 각각 고유한 일련의 작업과 동작이 있지만 기본적으로 두 가지가 반복적으로 공격을 가해 많은 지원 요청을 생성했기 때문에 눈에 띄었습니다.

• STOP/DJVU, ESET에서 다음으로 감지됨 Win32/파일코더.STOP, 학생들을 집중적으로 표적으로 삼는 것으로 보이는 랜섬웨어 계열입니다. 영향을 받은 모든 사람들이 같은 방식으로 표적이 된 것은 아니지만, 몇몇 학생들은 이 랜섬웨어가 대학에서 학교 또는 개인 프로젝트를 위한 상용 VST 플러그인을 불법 복제한 후 나타났다고 보고했습니다. 이는 오랜 사용자가 공유한 "높은 평판" 토렌트에서 플러그인을 다운로드하고 특정 마그넷 링크에 대해 수십 또는 때로는 수백 개의 시더가 있음에도 불구하고 그렇습니다.

• 소프트웨어 불법 복제가 발생한 직후, 학생들은 데스크탑에서 상당히 표준적인 랜섬웨어 노트를 발견했습니다. 강탈 메모에서 특이한 점은 범죄자들이 수만 달러 또는 수십만 달러를 요구하는 대신 훨씬 적은 금액(암호화폐 기준)으로 약 1,000~1,200달러를 요구한다는 것입니다. 하지만 그게 전부가 아닙니다. 알림을 받은 후 처음 24~72시간 이내에 비용을 지불하는 피해자는 50% 할인을 받을 수 있었습니다. 기업을 표적으로 삼는 범죄자들이 요구하는 금액에 비해 갈취 금액이 매우 낮아 보이지만, 특히 이러한 고압 전술에 직면했을 때 더 낮은 금액은 피해자가 지불할 가능성이 더 높을 수 있습니다. STOP/DJVU 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 판매되고 있습니다. 즉, 개발자가 비용을 지불하고 수익의 일부를 받는 대가로 다른 범죄자에게 임대한다는 의미입니다. 다른 범죄자들도 이를 사용하고 있을 수 있지만 적어도 한 그룹은 학생들을 표적으로 삼는 데 최적의 위치를 ​​찾은 것으로 보입니다.

궁금한 점이 있을 경우를 대비해 말씀드리자면, STOP/DJVU 범죄자에게 몸값을 지불한 후 성공적으로 파일을 해독한 사람에 대해 들어본 적이 없습니다. 파일을 해독할 때 가장 좋은 방법은 해독기가 출시될 경우를 대비하여 파일을 백업하는 것입니다.

• Redline Stealer는 이름에서 알 수 있듯이 사용자 지정 가능한 정보 탈취 트로이 목마 제품군으로 ESET에서 다음과 같이 탐지합니다. MSIL/Spy.RedLine 와 MSIL/스파이 에이전트. STOP/DJVU 랜섬웨어와 마찬가지로 Criminal software as a Service 도구 제품군의 일부로 임대된 것으로 보입니다. Discord를 통해 확산되고 있다는 여러 보고서를 보았지만 서비스 제공으로 "판매"되기 때문에 다양한 목적을 위해 다양한 방식으로 배포하는 범죄 조직이 많을 것입니다. 이 경우 피해자는 손상된 친구의 계정에서 암호로 보호된 .ZIP 파일로 전달된 소프트웨어를 실행하라는 메시지를 직접 받았습니다. 범죄자들은 ​​심지어 피해자들에게 바이러스 백신 소프트웨어가 무언가를 감지하면 오탐지이며 무시하라고 말했습니다.

기능이 진행되는 한 Redline Stealer는 PC가 실행 중인 Windows 버전, 사용자 이름 및 시간대에 대한 정보를 수집하는 등 정보를 훔치는 맬웨어에 대해 상당히 일반적인 활동을 수행합니다. 또한 디스플레이 크기, 프로세서, RAM, 비디오 카드, 컴퓨터의 프로그램 및 프로세스 목록과 같이 실행 중인 환경에 대한 일부 정보를 수집합니다. 이것은 에뮬레이터, 가상 머신 또는 샌드박스에서 실행되고 있는지 확인하는 데 도움이 될 수 있으며, 이는 악성코드가 모니터링되거나 리버스 엔지니어링되고 있다는 경고 신호일 수 있습니다. 그리고 다른 유사한 프로그램과 마찬가지로 PC에서 파일을 검색하고 원격 서버에 업로드할 수 있으며(개인 키 및 암호 화폐 지갑을 훔치는 데 유용함) 파일을 다운로드하고 실행할 수 있습니다.

하지만 Information stealer의 주요 기능은 정보를 훔치는 것이므로 Redline Stealer는 정확히 무엇을 노리나요? Discord, FileZilla, Steam, Telegram, OpenVPN 및 ProtonVPN과 같은 다양한 VPN 클라이언트를 포함한 많은 프로그램의 자격 증명은 물론 Google Chrome, Mozilla Firefox 및 파생 제품과 같은 웹 브라우저의 쿠키 및 자격 증명을 훔칩니다. 최신 웹 브라우저는 계정과 암호뿐만 아니라 신용 카드 정보도 저장하기 때문에 심각한 위협이 될 수 있습니다.

이 맬웨어는 서로 다른 범죄 조직에서 사용하기 때문에 각각 약간 다른 것에 집중할 수 있습니다. 그러나 이러한 경우에는 대부분 Discord, Google 및 Steam 계정이 대상이었습니다. 손상된 Discord 계정은 친구에게 멀웨어를 퍼뜨리는 데 사용되었습니다. Google 계정은 YouTube에 액세스하고 특정 동영상의 조회수를 부풀리며 다양한 사기 수법을 광고하는 동영상을 업로드하는 데 사용되어 계정이 차단되었습니다. 공격자가 훔쳐서 사용하거나 재판매할 수 있는 게임 내 통화 또는 항목이 있는 게임에 대해 Steam 계정을 확인했습니다. 손상된 계정으로 할 수 있는 모든 일을 고려할 때 이상한 선택처럼 보일 수 있지만 십대에게는 이것이 그들이 소유한 가장 귀중한 온라인 자산일 수 있습니다.

요약하면 다른 범죄자들이 사용할 수 있도록 서비스로 판매되는 두 가지 유형의 맬웨어가 있습니다. 이 경우 범죄자들은 ​​XNUMX대와 XNUMX대 초반의 피해자를 표적으로 삼은 것으로 보입니다. 어떤 경우에는 피해자가 가지고 있는 자금의 종류에 비례하는 금액을 갈취합니다. 다른 경우에는 Discord, YouTube(Google) 및 온라인 게임(Steam)을 대상으로 합니다. 피해자를 감안할 때 이러한 범죄 조직이 비슷한 연령대의 사람들로 구성되어 있는지, 그렇다면 동료들에게 매우 효과적일 것이라고 알고 있는 특정 표적 및 유인 방법을 선택했는지 궁금해해야 합니다.

우린 어디로 가게되는 거지?

보안 실무자는 사람들에게 컴퓨터의 운영 체제와 응용 프로그램을 최신 상태로 유지하고 최신 버전만 사용하고 기존 공급업체의 보안 소프트웨어를 실행하라고 조언합니다. 그리고 대부분의 경우 사람들이 그렇게 하고 다양한 위협으로부터 보호합니다.

그러나 다운로드할 스케치 소스를 찾기 시작하면 상황이 악화될 수 있습니다. 보안 소프트웨어는 인간의 행동을 설명하려고 시도하지만 평판 및 신뢰와 같은 개념을 악용하는 범죄자도 마찬가지입니다. Discord의 가까운 친구가 프로그램을 살펴보라고 요청하고 바이러스 백신 소프트웨어가 이를 위협으로 잘못 감지할 수 있다고 경고하면 보안 소프트웨어 또는 친구 중 누구를 믿겠습니까? 본질적으로 일종의 사회 공학인 신뢰에 대한 공격에 프로그래밍 방식으로 대응하고 방어하는 것은 어려울 수 있습니다. 여기에 설명된 시나리오 유형에서 궁극적인 방어가 될 수 있는 것은 컴퓨터 코드가 아니라 사용자 교육이지만 이는 보안 실무자가 올바른 메시지를 전달하는 경우에만 가능합니다.

저자는 이 기사를 작성하는 데 도움을 준 그의 동료 Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko 및 Righard Zwienenberg에게 감사를 표하며, Neowin은 이 기사의 원본을 출판했습니다.

Aryeh Goretsky
ESET 저명 연구원

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/