Kant's IT/Issue on IT&Security

게임 속임수 스크립트 엔진을 통해 확산된 Lua 기반 악성코드

Kant Jo 2024. 11. 12. 12:35

Gamers Tricked Into Downloading Lua-Based Malware via Fake Cheating Script Engines

 

Gamers Tricked Into Downloading Lua-Based Malware via Fake Cheating Script Engines

Gamers searching for game cheats are falling victim to a global malware campaign delivering RedLine Stealer.

thehackernews.com

 

  • Lua 기반 악성코드 배포 캠페인 개요
    • Lua 기반 게임 엔진을 악용한 악성코드가 게임 치트를 찾는 사용자들을 속여 시스템에 침투
    • Morphisec 연구원에 따르면, 이 악성코드는 북미, 남미, 유럽, 아시아, 호주에서 널리 퍼져 있으며, 감염된 시스템에 지속성을 확립하고 추가 페이로드를 배포하는 데 사용됨
  • 감염 방식
    • 사용자는 인기 있는 게임 치트 스크립트 엔진(Solara, Electron)을 찾다가 가짜 웹사이트로 유도되어 GitHub 저장소에 있는 악성 ZIP 파일을 다운로드
    • ZIP 파일에는 Lua 컴파일러, Lua 런타임 DLL, 난독화된 Lua 스크립트, 배치 파일(launcher.bat)이 포함됨
    • 배치 파일이 Lua 컴파일러를 사용해 악성 Lua 스크립트를 실행하며, 이후 명령 및 제어(C2) 서버와 통신하여 시스템 정보를 전송
    • C2 서버는 지속성 유지, 프로세스 숨김, 또는 추가 페이로드 다운로드 명령을 내림 (예: Redone Stealer, CypherIT Loader)
  • 공격 전술의 변화
    • 초기 단계의 GitHub를 통한 악성코드 호스팅 방식에서, 공격자는 난독화된 Lua 스크립트를 사용하여 탐지를 피하고 바이트코드 대신 스크립트를 활용하여 의심을 줄임
    • RedLine 정보 탈취기 같은 페이로드는 Dark Web에서 수집된 자격 증명을 판매하여 더 복잡한 공격에 활용됨
  • 관련 사례 및 확산 경로
    • Kaspersky에 따르면, Yandex에서 인기 소프트웨어의 불법 버전을 찾는 사용자들이 SilentCryptoMiner에 감염됨
    • Telegram 채널, YouTube 동영상 설명 및 댓글을 통해 암호화폐 채굴 악성코드지갑 교체 공격이 이루어짐
    • Doctor Web은 28,000명 이상의 사용자가 이러한 캠페인에 피해를 입었으며, 악성 페이지나 GitHub 및 YouTube를 통해 감염이 확산되고 있음을 보고
  • 피해 및 수익
    • 악성코드를 통해 약 $6,000 상당의 암호화폐가 탈취됨
    • SilentCryptoMiner클리퍼(clipper) 악성코드는 GitHubYouTube를 통해 확산되며, 러시아, 벨라루스, 카자흐스탄 등 여러 국가에서 피해 발생
  • 시사점
    • 게임 치트, 불법 소프트웨어 등을 다운로드할 때는 신뢰할 수 있는 출처를 이용해야 하며, GitHub와 같은 플랫폼에서 제공되는 파일은 철저히 검증 필요
    • 기업 및 개인은 악성 코드 탐지 솔루션을 최신 상태로 유지하고, 의심스러운 파일과 링크를 주의