불법 스트리밍 사이트의 악성 광고로 100만 대의 PC가 감염되었다, 마이크로소프트 경고

마이크로소프트는 전 세계적으로 거의 백만 대의 디바이스에 영향을 미치는 대규모 악성 광고 캠페인을 위해 사용되고 있던 여러 GitHub 리포지토리를 폐쇄했습니다.

해당 회사는 2024년 12월, 위협 인텔리전스 팀이 GitHub에서 사용자의 디바이스로 악성 소프트웨어가 다운로드되는 것을 발견하면서 공격을 파악했습니다.

Microsoft 분석에 따르면, 사이버 범죄자들이 불법 스트리밍 웹사이트의 비디오 안에 악성 광고를 심었습니다. 이 광고들은 의심하지 않는 사용자들을 GitHub로 리디렉션하여, 그들의 시스템에 묵묵히 악성 코드를 다운로드시켰습니다.

일단 설치되면, 이 악성 코드는 개인 정보를 도용하고, 보안을 손상시키며, 공격자가 감염된 장치를 계속해서 통제할 수 있도록 설계된 추가적인 해로운 프로그램들을 배포했습니다.

마이크로소프트의 분석에 따르면 이번 캠페인은 매우 체계적으로 진행되었으며, 여러 단계를 거쳐 악성코드를 퍼뜨렸습니다. 첫 번째 단계에서는 사용자들을 GitHub, Discord, 또는 Dropbox로 유인하여 악성코드를 호스팅했습니다.

다운로드가 완료되면, 악성코드는 감염된 시스템에 관한 데이터를 수집하였습니다. 이 데이터에는 메모리 크기, 운영 체제의 세부 정보, 사용자 정보 등이 포함되었습니다. 공격자들은 이 데이터를 사용하여 더욱 해로운 프로그램들, 비롯하여 정보를 훔치는 악성코드인 Lumma Stealer와 Doenerium을 배포하였습니다.

일부 경우에는 NetSupport이라는 원격 모니터링 도구도 설치되어, 공격자가 원격으로 감염된 장치를 제어할 수 있었습니다. Microsoft에서 Storm-0408이라는 이름으로 추적한 이 캠페인은 탐지하기 어렵게 설계되었습니다. 공격자들은 PowerShell과 JavaScript와 같은 합법적인 도구를 사용하여 일반 시스템 작업에 뒤섞여 보이도록 했습니다.

또한, 레지스트리 설정을 수정하거나 시작 프로그램 단축 아이콘을 추가하는 등의 지속성 기술을 구현하여, 장치가 재시작한 후에도 악성 소프트웨어가 감염된 장치에 남아있도록 보장했습니다.

Microsoft는 GitHub의 보안 팀과 협력하여 악의적인 저장소를 제거하여 추가적인 감염을 방지했습니다. 그러나, 회사는 향후 유사한 공격이 발생할 수 있다고 경고하였습니다. 불법 스트리밍 사이트를 방문할 때 조심하고, 소프트웨어와 보안 보호를 최신 상태로 유지하라고 사용자들에게 당부했습니다.

블로그 포스트에서는 사이버 보안 전문가들을 위한 기술적인 세부사항도 제공하였으며, 감염의 신호를 감지하고 유사한 위협을 방지하는 방법들을 포함하고 있습니다.

Microsoft는 특히 GitHub과 같은 신뢰받는 플랫폼을 이용하여 악성 코드를 전파하는 등, 진화하는 사이버 위협에 대해 조직들이 경계를 늦추지 않아야 한다고 강조하였습니다.