가짜 직업 이메일로 퍼져가는 비버테일 맬웨어

새로운 사이버 공격이 가짜 채용 이메일을 이용해 해롭지 않은 개발자 파일로 위장된 악성 프로그램을 퍼트리는 데 집중하고 있습니다.

ASEC의 사이버 보안 전문가들은 이 악성 프로그램을 처음으로 식별한 사람들로, 이 사건은 공격자들이 채용 담당자나 개발자 커뮤니티의 멤버로 위장하는 새로운 전략의 일환임을 설명합니다.

해당 사건은 처음으로 2024년 11월 29일에 발생했는데, 해커들이 Dev.to의 신원을 이용해 플랫폼 개발자로 가장했습니다.

공격자들은 BitBucket 코드 저장소 링크가 포함된 이메일을 보내 사용자들에게 프로젝트 검토를 요청했습니다. 프로젝트 파일들은 일반적인 프로젝트 파일로 위장된 숨겨진 악성 소프트웨어를 포함하고 있었습니다.

가짜 파일들은 주요한 두 가지 위협을 포함하고 있었습니다: “tailwind.config.js” 파일로 위장된 자바스크립트 기반의 악성 소프트웨어인 비버테일(BeaverTail)과 다운로더 역할을 하는 두 번째 구성 요소인 car.dll입니다. 이 파일들을 열게 되면, 이들은 함께 로그인 정보, 브라우저 데이터, 심지어 암호화폐 지갑 정보까지 훔칩니다.

ASEC의 연구원들은 “비버테일은 주로 직업 제안으로 위장된 피싱 공격을 통해 유포되는 것으로 알려져 있다”고 설명했습니다. 이 공격의 이전 버전들은 LinkedIn과 같은 플랫폼에서 발견되었습니다.

이 멀웨어는 표준 시스템 작업을 흉내 내어 실제 목적을 가장함으로써 중요한 위협을 끼칩니다. 이 멀웨어는 PowerShell과 rundll32 도구를 사용해, 표준 윈도우 유틸리티로서 안티바이러스 소프트웨어의 탐지를 피합니다.

시스템에 침투한 후 이 멀웨어는 Tropidoor를 검색하고 실행하는데, 이는 고급 백도어 역할을 합니다. 이 도구는 원격 서버와 암호화된 연결을 구축하면서 파일 삭제, 프로그램 코드 주입, 스크린샷 캡처를 포함한 20가지 이상의 다양한 명령을 실행합니다.

“트로피도어는 기본 시스템 정보를 수집하고 무작위 0x20 바이트 키를 생성하며, 이는 RSA 공개 키로 암호화됩니다.”라고 연구자들이 말했습니다. 이 안전한 연결을 통해 해커들은 자신들이 발견되지 않고 감염된 기계를 제어할 수 있습니다.

보안 팀은 이 시기에 모든 사람들이 매우 경계하도록 촉구합니다. 특히 코드 저장소에 대한 링크 또는 프로젝트 파일을 다운로드하도록 요청하는 예상치 못한 채용 이메일에 조심하십시오. 어떠한 콘텐츠를 열기 전에 항상 공식 회사에 확인하십시오.