출처: 토큰포스트
연구진은 로스 울브리히트(Ross Ulbricht) 관련 뉴스를 악용해 피해자들에게 악성코드를 배포하는 새로운 “클릭-픽스(Click-Fix)” 전술을 발견했다고 밝혔다. 이번 캠페인은 사용자들의 기기를 감염시키기 위해 캡차 검증을 가장한 방법을 활용하고 있다.
25일(현지시간) 크립토포테이토에 따르면, 사이버 보안 연구진 vx-underground는 악성코드 캠페인이 로스 울브리히트를 사칭한 가짜 계정을 통해 사용자들을 텔레그램 채널로 유도하고, 해당 채널에서 피해자들에게 파워셸(PowerShell) 스크립트를 실행하도록 유도하고 있다고 밝혔다. 이 스크립트는 피해자의 기기에 악성코드를 설치하는 역할을 한다.
이번 공격은 기존의 “클릭-픽스” 전술을 변형한 것으로, 일반적인 오류 수정 프로그램이 아닌, 텔레그램 채널 가입을 위한 캡차 또는 신원 확인 절차를 가장하고 있다. 사이버 범죄자들은 X(구 트위터)에서 로스 울브리히트를 사칭한 가짜 인증 계정을 사용해 피해자를 텔레그램으로 유도하고, 채널에 접속한 사용자들에게 “Safeguard”라는 이름의 신원 검증 과정을 진행하도록 한다.
이 과정에서 사용자들은 작은 애플리케이션을 통해 가짜 검증 대화창을 마주하며, 자동으로 파워셸 명령어가 클립보드에 복사된다. 이후 사용자는 해당 명령어를 실행하라는 지시를 받는다. 명령어 실행 시, 해당 스크립트는 http://openline[.]cyou에서 ZIP 파일을 다운로드하며, 이 파일 안에는 identity-helper.exe라는 프로그램이 포함되어 있다. 이는 Cobalt Strike 로더로 의심되며, 공격자가 원격 액세스 및 랜섬웨어 배포, 데이터 탈취 등을 실행하는 데 자주 사용되는 도구이다.
이번 캠페인은 치밀하게 설계되어 보안 소프트웨어나 사용자의 의심을 피하기 위해 세부적으로 문구가 조작되어 있다.
이 공격은 로스 울브리히트가 최근 도널드 트럼프 대통령의 사면으로 석방된 이후 발생했다. 울브리히트는 2013년 악명 높은 다크웹 마켓플레이스인 실크로드(Silk Road)를 설립 및 운영한 혐의로 체포되어 종신형을 선고받았다.
실크로드는 토르(Tor) 네트워크를 기반으로 운영되며, 마약 등 불법 품목 거래를 허용한 온라인 마켓이었다. 울브리히트는 ‘드레드 파이럿 로버츠(Dread Pirate Roberts)’라는 가명을 사용해 사이트를 운영했으며, 2013년 10월 FBI에 의해 체포되고 사이트는 폐쇄되었다.
2015년 그는 마약 유통, 자금 세탁 등의 혐의로 종신형을 선고받았으며, 2017년과 2018년에 진행된 항소는 모두 기각되었다. 그의 석방 이후, 그의 이름을 악용한 사이버 범죄 활동이 증가하면서 이번 악성코드 캠페인이 그 일환으로 나타난 것으로 보인다.
