check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

대규모 악성광고 캠페인, 일주일에 4만건 감염 시도...주의

Master134 네트워크, 해킹 된 워드프레스 사이트들로부터 트래픽 훔쳐

길민권 기자 mkgil@dailysecu.com 2018년 08월 02일 목요일

hacker-1446193_640.jpg
체크포인트가 대규모 멀버타이징(악성 광고) 캠페인에 대해 공개했다. 연구원들은 이 멀버타이징 캠페인의 운영자들이 그들의 훔친 트래픽을 선택 된 공격자에게 전달시키고 피해자들을 랜섬웨어, 뱅킹 악성코드 등에 감염시키기 위한 기술 지원 사기나 익스플로잇 키트로 이동시키기 위해 광고 네트워크 및 광고 리셀러들과 결탁한 것으로 보인다고 밝혔다.

체크포인트는 이 복잡한 책략의 이름을 캠페인 전반의 운영 계획 내 중앙 서버의 URL에서 따온 'Master134'라 명했다.

체크포인트 보고서에 따르면, Master134는 워드프레스의 사이트를 탈취하는 것으로 시작한다. 연구원들은 이 그룹이 손상 시킨 워드프레스 사이트 1만개 이상을 발견했다고 밝혔다.

연구원들은 해킹 된 모든 워드프레스 사이트들이 공격자들이 사이트를 탈취하도록 허용하는 원격 코드 실행 취약점이 존재하는 WordPress CMS 버전 4.7.1을 실행 중이었다고 말했다.

공격자들은 이 사이트들에 광고 주입을 위한 코드를 삽입했다. 이는 사용자들을 Master134의 메인 리디렉션 서비스로 이동시켰다.

또 이 그룹은 브라우저 홈페이지 하이재커 등 사용자들이 원치 않는 프로그램들을 설치해 그들을 Master134 리디렉션 포털로 이동시켰다.

이후 Master134 서비스의 역할은 그들의 웹사이트에 사용 가능한 광고 슬롯을 가진 사이트 주인들이 사용할 수 있는 '퍼블리셔'의 계정으로 AdsTerra 광고 네트워크의 “광고 슬롯”을 홍보하는 것이었다.

연구원들은 이 광고 슬롯들이 이후 AdKernel, AdventureFeeds, EvoLeads, ExoClick 4 곳의 광고 리셀러들 중 하나에 팔렸다고 말했다.

또 다양한 공격자들이 이 리셀러들을 통해 Master134의 광고 슬롯을 구매하고 하이잭 된 트래픽을 캡쳐해 악성코드로 유인하는데 사용할 수 있게 된다고 덧붙였다.

연구원들은 거의 모든 주요 온라인 범죄 그룹들이 "AdsTerra 리셀러”를 통해 Master134의 트래픽을 구매한 것으로 나타났다고 밝혔다.

이 그룹들에는 익스플로잇 키트 운영자 (RIG, Magnitude, GrandSoft, FakeFlash), 트래픽 배포 시스템 (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip) 및 많은 기술 지원 사기 운영자들이 포함 되었다.

연구원들은 공격자들이 Master134로부터 하이잭 된 트래픽을 구매하는 이 모든 상황이 단지 우연이라고는 생각하고 있지 않는다.

그들은 “이유는 알 수 없지만, 여러 악성 그룹들과의 대규모 콜라보는 써드파티 광고 네트워크(AdsTerra가 가장 큰 비중을 차지함)를 통해 성공적으로 운영되고 있다”며 “연구 결과, 우리는 공격자들이 Master134측에 직접 비용을 지불한다고 추측했다. 이후 Master134가 광고 네트워크 회사에 비용을 지불해 트래픽을 리라우팅하고, 아마도 트래픽의 출처를 위장할 수 있게 된다”고 설명했다.

또 “이러한 시나리오에서, Master134는 사이버 범죄 세계에서 독특한 역할을 수행한다. 그들은 AdsTerra와 직접적으로 일하며 광고 수익을 창출하고, AdsTerra는 이 트래픽이 정확한 목표, 이 경우에는 공격자들에게 성공적으로 전달될 수 있도록 한다”고 덧붙였다.

연구원들은 이 멀버타이징 캠페인은 아직까지 진행 중이며, 일주일에 약 4만건의 감염 시도가 발생한다고 주의를 당부했다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록