Kaspersky의 경고: OkoBot 악성코드의 위협
Kaspersky의 글로벌 연구 및 분석 팀(GReAT) 전문가들은 25개국의 수백 명의 사용자가 자산 도난의 위험에 처해 있다고 경고했습니다. 이는 위험한 OkoBot 악성코드 프레임워크가 암호화폐 소유자를 겨냥하여 활성화 단계에 들어갔기 때문입니다.
해커들은 완전히 보호받고 있다고 믿었던 사람들을 겨냥하기 위해 전술을 완전히 수정했다고 분석가들은 새로운 보고서에서 언급했습니다. 이 악성코드는 공식 Ledger Live, Ledger Wallet 및 Trezor Suite 애플리케이션의 기능을 가로채고 가짜 인증 창을 표시하여 자금을 도둑질합니다.
보안 규칙 및 공격 대상
사용자는 이 속임수에 넘어가지 않기 위해 세 가지 주요 보안 규칙을 엄격히 따를 것을 권장합니다. 이번 캠페인에서 공격자들은 IT 전문가와 소프트웨어 개발자를 의도적으로 겨냥하고 있습니다.
“초기 손상은 해커들이 악성코드를 인기 있는 작업 도구로 위장하고 GitHub를 통해 감염된 소프트웨어를 배포할 때 발생합니다.”
특히 연구자들은 이미 가짜 Microsoft SQL Server Management Studio(SSMS) 설치 프로그램 내에서 악성코드를 발견했습니다. 동시에 공격자들은 ClickFix 공격이라는 정교한 사회 공학 기법을 사용하고 있으며, 이 기법에서는 사용자가 예기치 않은 브라우저 오류를 수정한다는 명목으로 악성 코드를 복사하고 터미널에서 실행하도록 설득됩니다.
악성코드의 구조와 확산
Kaspersky GReAT에 따르면, 이 악성코드는 Rilide 정보 도용기와 OkoSpyware 감시 모듈을 포함한 20개 이상의 구성 요소로 이루어진 모듈형 구조를 사용하기 때문에, 공격의 지리적 범위는 현재 감염 사례가 가장 많은 브라질, 베트남, 캐나다, 멕시코, 터키를 넘어 확장될 것으로 예상됩니다.
Chrome 및 Edge를 포함한 Chromium 기반 브라우저를 위한 새로운 숨겨진 확장 프로그램도 등장할 것으로 보입니다. 이 악성코드는 이러한 확장 프로그램을 설치된 추가 기능의 가시 목록에서 완전히 제거하여 사용자가 그 존재를 인식하지 못하게 할 수 있습니다.
최종 단계와 피해자의 컴퓨터 접근
최종 단계에서는 피해자의 컴퓨터에 대한 접근을 대규모로 판매하는 것이 포함될 수 있습니다. 시스템에서 지속성을 확보한 후 OkoBot은 비밀리에 새로운 관리자 계정을 생성하고 원격 제어를 위한 영구 SSH 터널을 열어 RDP를 통해 접근합니다.