Google 광고를 통한 SecTopRAT 악성코드 유포 캠페인

SecTopRAT bundled in Chrome installer distributed via Google Ads

SecTopRAT bundled in Chrome installer distributed via Google Ads

 

• 개요
  • 공격자들이 Google 광고를 악용하여 사용자들에게 악성 Chrome 설치 프로그램을 배포
  • 피해자가 광고를 클릭하면 Google Sites에 호스팅된 가짜 다운로드 페이지로 리디렉션
  • 다운로드된 설치 프로그램은 정상 Chrome 설치와 함께 SecTopRAT 악성코드를 은밀히 설치
• 공격 유포 경로 및 방법
  • 광고 및 Google Sites 조합 이용
    • “download google chrome” 검색 시 광고 클릭 유도
    • 광고 URL에 sites.google.com 사용하여 신뢰성 위장
    • Google Sites 플랫폼의 개방성 악용으로 합법적인 페이지처럼 가장
  • 악성 페이로드 전파 과정
    • 피해자가 GoogleChrome.exe 실행 시 원격 서버(launchapps[.]site)**와 연결
    • PowerShell 명령어 실행
      • Windows Defender 예외 경로 추가: %appdata%\Roaming
      • 암호화된 데이터 스트림 다운로드 및 복호화
    • 페이로드 구성 요소
      • decrypted.exe: 초기 악성 페이로드
      • %AppData%\Roaming\BackupWin\waterfox.exe: 최종 악성코드
      • MSBuild.exe 프로세스에 코드 주입으로 탐지 회피
    • 최종적으로 정상 Chrome 브라우저 설치로 사용자 의심 최소화
• SecTopRAT 악성코드 특징
  • 원격 액세스 트로이 목마(RAT) 및 정보 탈취 기능 포함
  • 기능
    • 키 입력 기록, 저장된 자격 증명 탈취
    • 명령 및 제어(C2) 서버와 통신: 45.141.84[.]208
    • 감염 시스템 제어 및 추가 페이로드 전송
  • 탐지 회피 기법
    • PowerShell 스크립트를 통한 안티바이러스 우회
    • 정상 프로그램 아이콘 및 이름 위장: waterfox.exe
    • MSBuild.exe 프로세스에 악성코드 삽입
• 영향 및 피해 범위
  • 사용자는 정상 Chrome 설치로 오인하여 악성코드 설치 인지 어려움
  • 저장된 자격 증명 및 브라우저 데이터 노출 위험
  • C2 서버와 지속적 연결 유지로 추가 공격 가능
  • 피해 확산: Notion, Grammarly 등 다른 소프트웨어 설치 파일도 위장
• 보안 권고
  • 소프트웨어 설치 시 주의사항
    • 공식 웹사이트를 통한 다운로드 권장
    • 검색 광고 클릭 자제 및 URL 확인 필수
  • 보안 솔루션 강화
    • 안티바이러스 및 탐지 시스템 최신화
    • 실시간 브라우저 보호 기능 활성화
  • 기업 및 사용자 대응 방안
    • 광고 서비스 제공 업체에 신속한 신고
    • 이상 네트워크 트래픽 모니터링
    • 의심스러운 프로세스 및 실행 파일 탐지
• 결론
  • 공식 플랫폼 악용 사례 증가로 사용자 경각심 필요
  • 공격자는 합법적인 소프트웨어 설치 과정에 악성코드 은닉하여 탐지 회피
  • 사용자 교육 및 다운로드 습관 개선으로 피해 예방 가능