Itch.io 사용자를 타깃으로 하는 사기 증가
Malwarebytes 의 최근 보고서는 인디 플랫폼 Itch.io 에서 게임 커뮤니티에 악영향을 미치는 심각한 사기 사건에 대한 관심을 불러일으켰습니다.이 사기의 가해자들은 Archimoulin과 같은 인기 게임인 척하며 다른 게이머와 인디 개발자 사이의 신뢰를 악용하고 있습니다.
사기가 작동하는 방식
사기는 Discord와 같은 신뢰할 수 있는 커뮤니케이션 플랫폼에서 해킹된 계정을 사용하는 것으로 시작됩니다.이러한 전술은 잠재적 피해자가 제공된 악성 링크를 믿고 클릭할 가능성을 높입니다.
클릭 시 사용자는 Itch.io의 디자인을 모방한 사기성 웹페이지로 리디렉션됩니다.이 웹페이지는 주로 Blogspot 하위 도메인이나 클라우드 링크 서비스에 호스팅됩니다.더욱 발전된 형태의 사기 수법으로는 피해자에게 가짜 디스코드 로그인 페이지를 제공하여 로그인 정보를 탈취하는 수법도 있습니다.이는 피해자의 계정을 침해할 뿐만 아니라 사기꾼이 추가적인 악성 메시지를 보낼 수 있도록 합니다.
악성 다운로드 및 회피 전략
사기성 게임 페이지에 접속한 피해자는 다운로드 버튼을 보게 되지만, 의도한 게임을 다운로드하는 대신 일반적으로.exe라는 이름의 파일을 받게 됩니다 Setup Game.exe.이 실행 파일은 설치 마법사나 진행률 표시줄과 같은 눈에 띄는 사용자 인터페이스 없이 작동하도록 설계되어 있어 쉽게 간과될 수 있습니다.
이 악성 프로그램은 PowerShell을 활성화하고 인코딩된 명령을 실행하여 유해한 스크립트를 즉시 탐지하지 못하도록 숨깁니다.메모리에서 직접 코드를 실행하기 때문에 기존 바이러스 백신 소프트웨어로는 위협을 식별하기가 더욱 어려워집니다.또한, .NET 트릭을 사용하면 PowerShell 창을 사용자에게서 숨길 수 있습니다.
사용자의 개입 시도를 더욱 방해하기 위해, 이 악성코드는 taskkillChrome, Firefox, Brave, Edge, Opera와 같은 인기 웹 브라우저를 강제로 종료하는 명령을 사용합니다.이로 인해 사용자가 정보를 빠르게 검색하거나 설치 과정을 중단할 수 없게 됩니다.
위협 수준 및 권장 조치
이 악성코드는 외부 서버와 직접 통신하지 않는 스테이저 또는 로더 역할을 합니다.대신, 레지스트리 항목, BIOS 또는 네트워크 구성 등을 검사하여 통제된 샌드박스 환경이 아닌 정상적인 시스템에서 작동하고 있는지 확인합니다.조건이 충족되면 이 은밀한 구성 요소는 백도어, 키로거 또는 암호화폐 채굴기 등 추가적인 악성 페이로드를 다운로드합니다.
Malwarebytes는 악성 파일을 실행하는 모든 사람에게 즉각적인 조치를 취할 것을 권고합니다.다음 사항이 중요합니다.
- Discord, 이메일, Steam 계정의 비밀번호를 변경하세요.
- 보안 장치에서 2단계 인증을 활성화하세요.
- 모든 활성 세션에서 로그아웃합니다.
- 승인된 제3자 애플리케이션이나 토큰을 모두 취소합니다.
- 영향을 받은 컴퓨터의 인터넷 연결을 끊습니다.
원치 않는 링크에 대해 경계하세요
이러한 지속적인 위협에 대해 우려되는 경우, 의심스러운 게임 다운로드 링크가 포함된 예상치 못한 DM이나 충돌, 새 폴더의 갑작스러운 생성 등 브라우저의 이상 동작에 주의하십시오.만약 시스템이 손상되는 경우, Windows를 완전히 재설치하는 것이 좋습니다.
자세한 내용은 Neowin 웹사이트 에서 전체 보고서를 참조하세요.
답글 남기기