가짜 리뷰에 AI 영상까지 동원... 암호화폐 투자자 노린 ‘평판 조작형’ 악성코드 작성일 06-18 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Ph0JPwwaOS"> <p contents-hash="f3587fab414ef23ddfabde4fe98490148ee1093f3d4b763cabe5dc706d7ec7e2" dmcf-pid="QlpiQrrNml" dmcf-ptype="general"><strong>가짜 리뷰와 AI 영상으로 악성코드 신뢰도 조작한 공격 캠페인 발견<br>GitHub·SourceForge·유튜브·바이러스토탈 등을 활용해 암호화폐 탈취 악성코드 유포<br>평판 조작 통한 악성코드 확산이 새로운 위협으로 떠오르고 있어</strong></p> <p contents-hash="10c391a9bf9cca8622cfa1c2539a72fa98e41aa5f4a0a6e394d97ec271536eeb" dmcf-pid="xDH6Kaaerh" dmcf-ptype="general">[보안뉴스 강초희 기자] 신원 미상의 위협 행위자가 합법적인 뉴스 사이트의 유료 기사(스폰서 콘텐츠)를 활용해 악성 프로그램을 홍보하는 새로운 공격 캠페인을 벌인 것으로 나타났다.</p> <figure class="figure_frm origin_fig" contents-hash="d4bb4585357529b86669849451f38809d9af4138a902dc4ea5d2ec28c4a1cdeb" dmcf-pid="yqdSm33GwC" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/18/552815-KkymUii/20260618170605858vqqb.jpg" data-org-width="1000" dmcf-mid="6zelrFFYDv" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/18/552815-KkymUii/20260618170605858vqqb.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: gettyimagesbank] </figcaption> </figure> <div contents-hash="9d3c05851c31396ed359c85e052d96ff389fe3cb9ce17c445f8ee8140b190535" dmcf-pid="WBJvs00HII" dmcf-ptype="general"> <br>체크포인트 리서치(Check Point Research)에 따르면 공격자는 전용 워드프레스 피싱 페이지를 중심으로 GitHub와 SourceForge 프로젝트, 유튜브 채널, 바이러스토탈(VirusTotal) 계정 등을 연계해 악성코드에 대한 신뢰도를 인위적으로 높이는 방식으로 활동했다. </div> <p contents-hash="1760223e3177b5ae96825dc166a97e61402777fd10246066f813e26cd8b2e9d0" dmcf-pid="YbiTOppXDO" dmcf-ptype="general">체크포인트는 “공격자는 다운로드 수 부풀리기, 조직적인 5성 리뷰, 인플루언서 스타일의 튜토리얼 영상, 신뢰받는 플랫폼에서의 홍보 등 정상 기업들이 사용하는 마케팅 전략을 그대로 차용했다”며 “사용자가 다운로드 전 확인할 수 있는 거의 모든 플랫폼에 가짜 평판 생태계를 구축했다”고 설명했다.</p> <p contents-hash="9dbc357f75becfb43df1b8ccd54db71d8cda6d1306f1512a09afa804bc10405a" dmcf-pid="GKnyIUUZws" dmcf-ptype="general">공격의 최종 목적은 암호화폐 클립보드 하이재커(Clipboard Hijacker)를 배포하는 것이다. 악성코드는 솔라나(Solana) 및 펌프닷펀(Pump.fun) 스나이퍼 봇, 온라인 도박 예측 프로그램 등에 숨겨져 배포됐으며, 빠른 수익을 노리는 암호화폐 투자자와 온라인 도박 이용자를 주요 표적으로 삼고 있다.</p> <p contents-hash="c68d8ca5fe21d83589a12e53d09b0a43455624da110d276e28b980ebe1f81abc" dmcf-pid="H9LWCuu5sm" dmcf-ptype="general">해당 악성코드는 Rust 기반으로 개발됐으며 윈도우와 macOS를 모두 지원한다. 사용자의 클립보드를 지속적으로 감시하다가 암호화폐 지갑 주소 패턴이 감지되면 이를 공격자가 미리 설정한 지갑 주소로 자동 교체한다. 사용자가 이를 인지하지 못한 채 송금을 진행할 경우 자금이 공격자 지갑으로 전송된다.</p> <p contents-hash="b7a7f00f18e3e435ae8877e9daaabf43ff332117ae39ee6b69be6c71d068a176" dmcf-pid="X2oYh771Ir" dmcf-ptype="general">이번 공격에서 주목할 점은 바이러스토탈을 비롯한 평판 기반 시스템을 조작하기 위해 ‘고스트 네트워크’(Ghost Networks)를 활용했다는 점이다. 공격자는 다수의 계정을 동원해 악성 파일에 추천과 긍정적인 댓글을 남기며 정상 파일처럼 보이도록 위장했다.</p> <p contents-hash="aed2182fa4d8c089b2ddc2453321db502e98b0cb9a9d414f809583f6dcdbd058" dmcf-pid="ZVgGlzztDw" dmcf-ptype="general">이 같은 활동은 GitHub에서도 확인됐다. 공격자는 최소 6개의 GitHub 계정을 운영하며 악성 프로젝트를 상호 홍보하고 배포했다. 그 결과 일부 저장소는 별점 146개와 포크(Fork) 62개를 확보하는 등 인위적으로 신뢰도를 높인 것으로 나타났다.</p> <p contents-hash="eac826575aa91e0f5f3e20c6098c68af677196d057a6318280841fbb7d2de140" dmcf-pid="5faHSqqFID" dmcf-ptype="general">SourceForge에서도 비정상적인 다운로드 통계가 확인됐다. 다운로드 수는 4만4485건에 달했으며, 이 가운데 3만7460건이 안드로이드 기기에서 발생한 것으로 기록됐다. 하지만 해당 개발자는 윈도우와 macOS 버전만 제공하고 있어 통계 조작 가능성이 제기됐다.</p> <p contents-hash="098d4580014d24c01da0f8bdd156b4d8020da90c799fb1c3bc7efbbb3cc82445" dmcf-pid="14NXvBB3IE" dmcf-ptype="general">체크포인트는 “안드로이드 기기 농장(Android Farm)을 이용해 SourceForge 다운로드 수를 인위적으로 늘렸을 가능성이 있다”고 분석했다.</p> <p contents-hash="ab7d180362eb203f94aecdee39b96168a6250fced15ac1eb2adeb8cb83026a13" dmcf-pid="t1fDaWWIrk" dmcf-ptype="general">공격자는 구독자 9만1000명 이상을 보유한 유튜브 채널도 운영하고 있었다. 2020년 7월 개설된 이 채널은 ‘교육 목적 전용’을 표방하고 있으며, AI가 생성한 음성 내레이터와 긍정적인 댓글을 활용해 프로그램의 신뢰성과 인기를 연출했다.</p> <p contents-hash="e27a84cae1ec7e72984655e20c59db6a3aefe31ef8229ec116ce6a5fddfbb13b" dmcf-pid="Ft4wNYYCIc" dmcf-ptype="general">특히 이번 캠페인에서 가장 이례적인 부분은 공격자가 EIN Presswire와 같은 보도자료 배포 서비스를 활용했다는 점이다. 해당 보도자료는 이후 USA TODAY Network를 포함한 다수의 제휴 뉴스 사이트에 재배포되며 악성 프로그램 홍보에 이용됐다.</p> <p contents-hash="f7a710661825c0000f1008e52a1118f0921347b51ccee647d29cfd1fb86c6855" dmcf-pid="3F8rjGGhmA" dmcf-ptype="general">체크포인트는 “크라우드소싱 기반 플랫폼에서 평판과 여론을 조작하는 것은 공격자들이 신뢰를 구축하는 새로운 방식”이라며 “이러한 가짜 평판과 공격적인 크로스 플랫폼 홍보 전략은 앞으로 정보탈취형 악성코드나 랜섬웨어를 더욱 효과적으로 유포하는 데 활용될 수 있다”고 경고했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 SK하이닉스서 또 1억원 기부 직원 나와… “AI 발전, 기회·희망으로 이어지길” 06-18 다음 '한일전' 여수에서 열린다…핸드볼 슈퍼매치, 인천도시공사-SK슈가글라이더즈 챔피언 자격 출전 06-18 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.