ChromeLoader 악성코드 탐지

[post-views]
5월 27, 2022 · 3 분 읽기
ChromeLoader 악성코드 탐지

보안 분석가들은 ChromeLoader 활동의 재발을 보고합니다. ChromeLoader라는 브라우저 하이재커는 2022년 1월부터 Windows 및 macOS 사용자, Safari 웹 브라우저에 문제를 일으켜 왔습니다. 이 악성코드 운영자는 주로 게임과 같은 불법 복제 소프트웨어를 제공한다는 ISO 파일을 통해 이를 퍼뜨립니다. 사용자가 실제로 얻는 것은 은밀한 브라우저 확장 프로그램입니다. 일단 브라우저가 손상되면 검색 엔진에서 얻는 결과를 신뢰할 수 없습니다. 이제 피해자는 가짜 “확실한 복권”, 소프트웨어 및 데이팅 플랫폼 프로모션 캠페인, 성인 콘텐츠와 같은 바람직하지 않은 마케팅 계획에 취약해질 수 있습니다.

ChromeLoader 활동의 배후 세력은 상업용 제휴 체계를 통해 수익을 얻으며, 대상을 위의 언급된 불필요한 콘텐츠를 제공하는 웹사이트로 트래픽을 리디렉션합니다.

ChromeLoader 악성코드 탐지

효율적인 ChromeLoader 악성코드 탐지를 위해 Sigma 규칙 을 사용하십시오. 이는 SOC Prime Threat Bounty Program의 재능 있는 멤버인 Sohan G가 개발하였으며, Windows와 macOS의 관련 의심스러운 활동을 시기적절하게 추적할 수 있습니다:

PowerShell을 사용한 확장 프로그램 로딩으로 인한 ChromeLoader 의심 실행 (cmdline 방식)
sh 또는 bash를 사용한 확장 프로그램 로딩으로 인한 ChromeLoader 의심 실행 (cmdline 방식)

탐지는 23개의 SIEM, EDR 및 XDR 플랫폼에서 이용 가능하며, 최신 MITRE ATT&CK® 프레임워크 v.10과 정렬되어 커맨드와 스크립팅 인터프리터(T1059; T1059.004; T1059.001)를 기본 기법으로 삼아 실행 전술을 다룹니다.

정교하게 제작된 탐지 콘텐츠로 적에 대한 우위를 점하세요. 최신 위협을 다루는 새로운 탐지 알고리즘을 발견하려면 탐지 보기 버튼을 클릭하세요. 새로운 탐지 콘텐츠를 개발하고 기존 탐지 콘텐츠를 향상시키는 데 경험이 많은 숙련된 위협 사냥꾼들은 Threat Bounty Program의 훌륭한 자산이 될 것입니다. 직접 시도하여 업계 비전가들의 지원을 받고 기여에 대한 반복 보상을 얻으세요. SOC Prime과 함께 위협 사냥의 이점을 최대한 활용하세요!

탐지 보기 Threat Bounty에 가입

ChromeLoader 악성코드 분석

ChromeLoader 악성코드 배포의 시작은 2022년 1월. Red Canary and G-Data 가 이 문제를 연구하며 귀중한 통찰을 공유하고 있습니다. 흥미롭게도, G-Data 분석가들은 이 악성코드 조각을 Choziosi 로더라고 부르기로 결정했습니다. 그들의 발견에 따르면, ChromeLoader는 소셜 미디어 플랫폼에서 실행되는 멀버타이징 캠페인을 통해 배포됩니다. 보통 게임, 영화, 프로그램이 크랙되어 무료로 제공된 것처럼 위장한 상태에서, 위협 행위자들은 무기화된 ISO 아카이브 파일을 배포합니다. 예를 들어 Twitter에서는 적들이 스캔 가능한 QR 코드가 있는 이미지를 퍼뜨려 ChromeLoader 호스팅 사이트로 이어지게 합니다.

사용자가 다운로드한 악성 ISO 파일을 두 번 클릭하면 판도라의 상자가 열립니다. 피해자가 얻게 되는 실행 파일은 PowerShell 명령을 사용하여 Chrome 확장을 가져와 브라우저에서 감지되지 않은 상태로 착취합니다. 피해자는 또한 Windows 작업 스케줄러용 .NET 래퍼를 받아서 악성코드가 손상된 환경에서 지속성을 유지할 수 있도록 합니다. ChromeLoader는 피해자의 브라우저 검색 쿼리를 Google, Yahoo 및 Bing에 변경하도록 설계된 브라우저 하이재커입니다. 이제 검색 엔진은 원하지 않는 광고 사이트로 트래픽을 리디렉션합니다.

해커에 의해 발생하는 피해를 방지하고 회사의 보안 생태계를 강화하기 위한 검증된 접근 방식을 찾고 있다면, SOC Prime에서 제공하는 솔루션을 선택하세요. 검증된 탐지 솔루션으로 보다 나은 시기적절한 탐지를 진행하고 SOC 운영의 효율성을 높이십시오.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기