Gamers Tricked Into Downloading Lua-Based Malware via Fake Cheating Script Engines
- Lua 기반 악성코드 배포 캠페인 개요
- Lua 기반 게임 엔진을 악용한 악성코드가 게임 치트를 찾는 사용자들을 속여 시스템에 침투
- Morphisec 연구원에 따르면, 이 악성코드는 북미, 남미, 유럽, 아시아, 호주에서 널리 퍼져 있으며, 감염된 시스템에 지속성을 확립하고 추가 페이로드를 배포하는 데 사용됨
- 감염 방식
- 사용자는 인기 있는 게임 치트 스크립트 엔진(Solara, Electron)을 찾다가 가짜 웹사이트로 유도되어 GitHub 저장소에 있는 악성 ZIP 파일을 다운로드
- ZIP 파일에는 Lua 컴파일러, Lua 런타임 DLL, 난독화된 Lua 스크립트, 배치 파일(launcher.bat)이 포함됨
- 배치 파일이 Lua 컴파일러를 사용해 악성 Lua 스크립트를 실행하며, 이후 명령 및 제어(C2) 서버와 통신하여 시스템 정보를 전송
- C2 서버는 지속성 유지, 프로세스 숨김, 또는 추가 페이로드 다운로드 명령을 내림 (예: Redone Stealer, CypherIT Loader)
- 공격 전술의 변화
- 초기 단계의 GitHub를 통한 악성코드 호스팅 방식에서, 공격자는 난독화된 Lua 스크립트를 사용하여 탐지를 피하고 바이트코드 대신 스크립트를 활용하여 의심을 줄임
- RedLine 정보 탈취기 같은 페이로드는 Dark Web에서 수집된 자격 증명을 판매하여 더 복잡한 공격에 활용됨
- 관련 사례 및 확산 경로
- Kaspersky에 따르면, Yandex에서 인기 소프트웨어의 불법 버전을 찾는 사용자들이 SilentCryptoMiner에 감염됨
- Telegram 채널, YouTube 동영상 설명 및 댓글을 통해 암호화폐 채굴 악성코드 및 지갑 교체 공격이 이루어짐
- Doctor Web은 28,000명 이상의 사용자가 이러한 캠페인에 피해를 입었으며, 악성 페이지나 GitHub 및 YouTube를 통해 감염이 확산되고 있음을 보고
- 피해 및 수익
- 악성코드를 통해 약 $6,000 상당의 암호화폐가 탈취됨
- SilentCryptoMiner와 클리퍼(clipper) 악성코드는 GitHub와 YouTube를 통해 확산되며, 러시아, 벨라루스, 카자흐스탄 등 여러 국가에서 피해 발생
- 시사점
- 게임 치트, 불법 소프트웨어 등을 다운로드할 때는 신뢰할 수 있는 출처를 이용해야 하며, GitHub와 같은 플랫폼에서 제공되는 파일은 철저히 검증 필요
- 기업 및 개인은 악성 코드 탐지 솔루션을 최신 상태로 유지하고, 의심스러운 파일과 링크를 주의
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
진정한 전문가와 가짜 전문가의 차이, 보안 전문가 사례 (1) | 2024.11.17 |
---|---|
파일 호스팅 서비스를 악용한 피싱 공격 (4) | 2024.11.13 |
Dark Angels 랜섬웨어: Windows 및 Linux/ESXi 시스템 공격 (0) | 2024.11.12 |
LNK 메타데이터 악용 (0) | 2024.11.12 |
2024년 상반기 스미싱 피해 급증: 약 88만 건 접수 (0) | 2024.11.12 |