[디지털투데이 AI리포터] 최근 구글 사이트 및 플레이 스토어에 악성 사이트와 앱들이 발견된다고 IT매체 테크레이더가 3일(현지시간) 전했다.

구글과 빙 검색 페이지에서 가짜 광고가 나타나므로 주의가 요구된다.

전문가들은 블랙캣 또는 ALPHV로 알려진 랜섬웨어 그룹이 가짜 광고를 통해 공식 사이트를 모방한 웹페이지를 방문하도록 사람들을 유인하고 있다고 경고했다.

광고에 연결된 가짜 웹사이트는 진짜 시스템 관리 도구인 윈SCP(WinSCP)와 비슷한 도메인 이름을 사용한다. 예를 들어 winscp.net를 교묘히 바꾼 winsccp.com라는 도메인을 사용한다. 이 사이트의 다운로드 아이콘을 클릭하면 악성 소프트웨어가 포함된 ISO 파일이 설치된다. 

이 악성코드는 사용자의 Active Directory (AD) 정보를 검색하고 파일을 추출하며 Veeam 자격 증명을 얻는 등의 활동을 포함한다. 또한 엔드포인트 보호 및 백신 소프트웨어를 비활성화하는 도구인 스파이보이(SpyBoy)를 사용한다.

블랙캣 외에도 공격자의 C2 도메인 중 하나에서 클롭(Clop) 랜섬웨어 파일이 발견됐다.

미국 사이버보안 및 인프라 보안기관(CISA)은 삼성 기기의 취약점이 스파이웨어 공급업체에 의해 이미 악용됐을 가능성이 있다고 경고했다.

기관이 공개한 취약점 중에는 CVE-2021-25371, 임의의 코드를 실행할 수 있는 CVE-2021-25487, 공격자가 DSP 드라이버 내에서 임의의 ELF 파일을 로드할 수 있는 CVE-2021-25371가 있다. 삼성은 이러한 취약점은 2021년 3월에 패치했다.

또 다른 취약점인 CVE-2023-21492은 특정 권한이 있는 로컬 공격자가 익스플로잇 코드 방어기술인 ASLR의 우회를 허용한다. 삼성은 지난 5월 이 취약점을 해결했다.

이러한 악성코드 방지를 위해 백신 시스템 설치가 권장된다.