위협 행위자는 이전에 손상된 WordPress 웹사이트 방문자의 시스템에 RAT(원격 액세스 트로이 목마)를 설치하기 위해 Cloudflare DDoS 봇 검사를 스푸핑하고 있습니다.
Sucuri의 연구원들은 최근 WordPress를 대상으로 하는 JavaScript 주입 공격 급증 사이트. 그들은 사이트 방문자가 사람인지 또는 DDoS 봇인지 확인하는 웹 사이트라고 주장하는 가짜 프롬프트를 트리거하는 스크립트를 WordPress 웹 사이트에 주입하는 공격자를 관찰했습니다.
많은 웹 애플리케이션 방화벽(WAF) 및 콘텐츠 배포 네트워크 서비스는 일상적으로 DDoS 보호 서비스의 일부로 이러한 경고를 제공합니다. Sucuri는 WordPress 사이트에서 가짜 Cloudflare DDoS 보호 팝업을 트리거하는 이 새로운 JavaScript를 관찰했습니다.
웹 사이트에 액세스하기 위해 가짜 프롬프트를 클릭한 사용자의 시스템에 악성 .iso 파일이 다운로드되었습니다. 그런 다음 웹 사이트에 액세스하기 위한 인증 코드를 받을 수 있도록 파일을 열라는 새 메시지를 받았습니다. "이러한 유형의 브라우저 확인은 웹에서 매우 일반적이기 때문에 많은 사용자는 방문하려는 웹 사이트에 액세스하기 위해 이 프롬프트를 클릭하기 전에 두 번 생각하지 않을 것입니다."라고 Sucuri는 썼습니다. "대부분의 사용자가 깨닫지 못하는 것은 이 파일이 사실 원격 액세스 트로이 목마라는 것입니다. 현재 이 게시물을 게시할 당시 13개의 보안 공급업체에서 플래그를 지정했습니다."
위험한 쥐
Sucuri는 원격 액세스 트로이 목마를 NetSupport RAT로 식별했습니다. NetSupport RAT는 이전에 랜섬웨어 공격자가 시스템에 랜섬웨어를 유포하기 전에 시스템을 설치하는 데 사용했던 맬웨어 도구입니다. RAT는 또한 올해 초 잠시 모습을 감췄던 잘 알려진 정보 도용자인 Racoon Stealer를 드롭하는 데 사용되었습니다. 위협 환경에서 다시 급증 2019월에. Racoon Stealer는 2021년에 등장했으며 XNUMX년 가장 많은 정보를 도용한 공격자 중 하나였습니다. 위협 행위자는 서비스로서의 맬웨어 모델을 포함하여 다양한 방식으로 이를 배포하고 불법 복제 소프트웨어를 판매하는 웹사이트에 심었습니다. 가짜 Cloudflare DDoS 보호 프롬프트를 통해 공격자는 이제 맬웨어를 배포하는 새로운 방법을 갖게 되었습니다.
Netenrich의 수석 위협 사냥꾼인 John Bambenek은 “공격자들, 특히 피싱의 경우 합법적으로 보이는 모든 것을 사용하여 사용자를 속일 것입니다.”라고 말합니다. 사람들이 봇을 탐지하고 차단하는 캡차와 같은 메커니즘에 익숙해짐에 따라 위협 행위자가 사용자를 속이기 위해 동일한 메커니즘을 사용하는 것이 합리적이라고 그는 말합니다. "이는 사람들이 맬웨어를 설치하도록 하는 데 사용될 수 있을 뿐만 아니라 Google, Microsoft 및 Facebook과 같은 주요 클라우드 서비스의 자격 증명을 훔치기 위한 '자격 증명 확인'에도 사용될 수 있습니다."라고 Bambenek은 말합니다.
궁극적으로 웹 사이트 운영자는 실제 사용자와 합성 사용자 또는 봇을 구분할 수 있는 방법이 필요하다고 그는 지적합니다. 그러나 종종 봇을 탐지하는 도구가 더 효과적일수록 사용자가 해독하기가 더 어려워진다고 Bambenek은 덧붙입니다.
nVisium의 수석 사이버 보안 연구원인 Charles Conley는 Sucuri가 RAT를 전달하는 것으로 관찰한 종류의 콘텐츠 스푸핑을 사용하는 것이 특별히 새로운 것은 아니라고 말합니다. 사이버 범죄자는 일상적으로 Microsoft, Zoom, DocuSign과 같은 회사의 비즈니스 관련 앱 및 서비스를 스푸핑하여 맬웨어를 전달하고 사용자가 모든 종류의 안전하지 않은 소프트웨어 및 작업을 실행하도록 속입니다.
그러나 브라우저 기반 스푸핑 공격의 경우 전체 URL을 숨기는 Chrome과 같은 브라우저의 기본 설정이나 파일 확장자를 숨기는 Windows와 같은 운영 체제로 인해 안목 있는 개인조차 자신이 다운로드하는 항목과 다운로드 위치를 파악하기가 더 어려워질 수 있습니다. 콘리는 말한다.
