해커들이 넵튠 RAT을 사용하여 피해자 컴퓨터를 감시하고, 도용하며, 초기화합니다

강력한 원격 접근 트로이 (RAT)인 넵튠 RAT의 위험한 새로운 버전이 CYFIRMA의 사이버보안 연구원들에 의해 발견되었습니다. 이 맬웨어는 비밀번호를 훔치고, 암호화폐 거래를 해킹하고, 피해자를 실시간으로 감시하며, 심지어는 윈도우 시스템을 파괴할 수도 있습니다.

해당 맬웨어는 GitHub, Telegram, 그리고 YouTube에서 퍼져나가고 있으며, 종종 “최고로 진보된 RAT”이라는 광고와 함께 나타납니다. 공격자들은 PowerShell 명령어를 사용해 맬웨어를 다운로드하고 실행시킵니다.

공격자들은 catbox.moe에 위치한 해로운 스크립트를 사용하여 무음 다운로드와 실행을 수행합니다. 피해자의 AppData 폴더는 Neptune RAT 설치를 받게 되며, 이는 원격 서버 연결을 설정하여 공격자들이 감염된 기계를 완전히 통제할 수 있게 합니다.

Neptune RAT는 다양한 기능을 포함하고 있기 때문에 중요한 위협으로 작용합니다. 이는 비밀번호를 도용하고 Chrome, Opera, Brave와 같은 인기 있는 웹 브라우저를 포함한 270여 개의 애플리케이션에서 로그인 정보를 추출할 수 있습니다.

이것은 또한 암호화폐 클리퍼로 기능하며, 복사된 암호화폐 지갑 주소를 공격자의 주소로 교체하여 거래를 가로챕니다. 더 극단적인 경우에는 랜섬웨어로 작동하여, 파일을 암호화하고 그들의 해제를 위해 비트코인 지불을 요구합니다.

이 맬웨어는 심지어 피해자의 화면을 실시간으로 모니터링할 수 있으며, 심각한 공격에서는 마스터 부트 레코드(MBR)를 손상시켜 시스템을 부팅할 수 없게 만듭니다. 또한 감지를 피하기 위해 설치 시에 바이러스 검사 프로그램을 비활성화합니다.

넵튠 RAT은 코드 난독화 방법을 통해 숨겨져 있습니다. 이에는 아랍어 텍스트와 이모티콘이 포함되어 있어, 연구자들이 프로그래밍을 분석하는 것을 더 어렵게 만듭니다. 또한, 이 악성코드는 가상 머신 보호를 포함하고 있어, 분석 활동을 감지하면 종료 절차를 실행합니다.

CYFIRMA에 따르면, 악성코드의 제작자인 ‘메이슨 팀’은 YouTube에 시연을 업로드하고 GitHub에서 넵튠 RAT의 무료 버전을 제공하고 있다고 합니다. 연구 보고서에 따르면, 이 개발자는 현재 사우디아라비아에 거주하는 모스크바 출신의 코더라고 주장하며, 악성코드의 개발과 관련된 공개 Discord와 YouTube 활동이 있습니다.