메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

 

files/attach/outimage/trtpost-wpengine.netdna-ssl.com/files/2016/11/342314803451465e6419076ad39e29b4..gif files/attach/outimage/trtpost-wpengine.netdna-ssl.com/files/2016/11/342314803451465e6419076ad39e29b4..gif

중독 검색 결과 뱅킹 맬웨어 제공

사이버 범죄자들은 ​​제우스 판다 (Zeus Panda)라는 은행 트로이 목마로 사용자를 감염시키려는 희망으로 구글 검색 결과를 독창적으로 접근하고 있다고 시스코 연구원은 말했다.

구글 중독 시도의 배후에있는 공격자들은 희생자가 악성 Word 문서가 뱅킹 맬웨어를 다운로드하는 사용되는 부비 트랩 사이트로 몰입하기 위해 주로 금융과 관련된 키워드 검색을 대상으로합니다.

"Talos 멀웨어 배포에 정기적으로 사용되는 배포 방법에 의존하지 않았기 때문에이 맬웨어 배포에 사용 인프라의 전체 구성 운영은 흥미 롭습니다."라고 공동 저자 Edmund Brumaghin, Earl Carter Emmanuel Tacheau 다음과 같이 전했습니다목요일 게시 보고서 .

공격자의 접근법에 대한 새로운 점은 위대한 SEO가있는 사이트를 호스팅하는 서버를 손상시키고 검색 결과 상단에 표시된다는 것입니다시스코에 따르면, 표적이 사이트는 금융 관련 키워드가 바람직하기 때문에 잠재 피해자가 관련 재무 주제를 검색 표시됩니다다른 경우에, 적들은 현존하는 페이지 안에 바람직한 키워드를 삽입하여 중독 페이지가 Google 검색 결과에서 높은 순위에 오를 가능성이 점점 커졌습니다.

예를 들어 "라마단에서의 알라지 은행 근무 시간" 대한 검색은 높은 평가와 리뷰를받은 손상된 비즈니스 사이트를 제공했습니다키워드 그룹은 특히 시스코에 따르면 인도와 중동 지역의 금융 기관을 대상으로하고있다.files/attach/outimage/trtpost-wpengine.netdna-ssl.com/files/2017/11/fce34af9827b47f12d51475a896d69bb..gif files/attach/outimage/trtpost-wpengine.netdna-ssl.com/files/2017/11/fce34af9827b47f12d51475a896d69bb..gif

"SEO 중독은 오래 전부터 있었으며 피싱과 같은 다양한 방식으로 나타났습니다그러나 대형 멀웨어 배포 네트워크의 일부로 사용되는 경우는 드문 일입니다. "라고 Bramaghin Threatpost와의 인터뷰에서 밝혔습니다.

이를 위해 중독 사이트는 피해자가 방문 멀웨어 감염 프로세스를 시작합니다경우에 따라 감염된 사이트는 희생자가 AV 기술 지원 페이지를 가짜로 만들어 방문자가 Zeus 트로이에 감염되었다는 잘못된 주장을하게합니다.

"피해자가 악의적 페이지에 액세스 , 손상된 사이트는 자바 스크립트를 사용하여 중개 사이트에서 호스팅되는 JavaScript 클라이언트를 리디렉션합니다." "이로 인해 클라이언트는 document.write () 메소드로 지정된 주소에있는 JavaScript 검색하고 실행합니다후속 페이지에는 유사한 기능이 포함되어 있으며 이번에는 HTTP GET 요청이 발생합니다. "

GET 요청은 악성 Word 문서를 호스팅하는 다른 사이트를 제공하는 HTTP 302 리디렉션 코드를 반환합니다결과적으로 클라이언트는이 리디렉션을 따라 악의있는 ​​문서를 다운로드합니다이것은 일반적으로 '302 완충재'라고 불리는 기법으로 익스플로잇 키트가 일반적으로 사용합니다. "라고 시스코는 말합니다.

그런 다음 악성 문서를 열거 저장하라는 메시지가 사용자에게 표시됩니다. Word 문서가 열리면 사용자는 "편집 사용" "콘텐츠 사용" 모두 묻는 메시지가 나타납니다컨텐트가 "활성화"되어 있으면 맬웨어 페이로드가 전달됩니다.

Brumaghin Zeus Panda 변종이 여러 가지 회피 난독 기술을 특징으로하는 새로운 패킹 메커니즘으로 업데이트되어 연구자가 분석하기가 훨씬 어려워 졌기 때문에 독특하다고 말했다.

또한 악성 페이로드의 초기 단계에서 유효하지 않은 매개 변수로 호출되는 수백 가지의 유효한 API 호출이 특징 것처럼 분석을 어렵게 만드는 다른 기술도 사용합니다. "(가짜) 호출은 분석가를 끌어 들이고 악성 코드를 분석하는 필요한 시간과 노력을 늘리기 위해 만들어졌습니다."

Brumaghin 이메일 기반 피싱 맬웨어 배포에 대한 인식이 높아짐에 따라 사용자는 파일에 회의적 가능성이 높다고 말했다결과적으로 공격자들은 사용자가 검색 엔진에서 제시 결과를 신뢰할 가능성이 높을수록 잠재적 희생자가 수행 검색 결과와 같은 새로운 경로를 사용하여 이러한 파일을 제공하는 방향으로 전환하고 있다고 그는 말했습니다.

 

추천 컨텐츠