가짜 DeepSeek 앱 주의! 구글 광고를 이용한 악성코드 배포 캠페인 발견

최근 Kaspersky에서 구글 광고를 통해 가짜 DeepSeek 앱을 유포하는 악성코드 배포 캠페인을 발견했습니다. 사용자들은 주의를 기울여야 합니다. 악성코드는 정상적인 소프트웨어와 함께 배포되며, 사용자 정보를 탈취하여 공격자에게 전송합니다.

가짜 DeepSeek 웹사이트와 악성코드 배포 과정

공격자들은 DeepSeek-R1 웹사이트를 위조하여 Ollama 또는 LM Studio와 같은 LLM(Large Language Model) 실행 도구를 호스팅했습니다. 이 도구들은 인터넷 연결 없이 로컬 컴퓨터에서 LLM을 실행할 수 있게 해줍니다. 하지만, 이 도구들은 BrowserVenom이라는 악성코드와 함께 배포되었습니다. BrowserVenom은 웹 브라우저의 트래픽을 공격자 서버를 통해 전송하도록 구성합니다.

BrowserVenom의 위험성

BrowserVenom에 감염된 사용자의 모든 민감한 데이터는 공격자 서버를 거치게 됩니다. 따라서, 로그인 정보와 같은 중요한 데이터가 공격자에게 쉽게 노출될 수 있습니다. Kaspersky는 이 캠페인이 구글 광고를 통해 홍보되었으며, 사용자가 다운로드 버튼을 클릭하면 운영체제를 확인하고 Windows 사용자에게만 악성코드를 배포했다고 밝혔습니다.

Windows 사용자 타겟팅

Windows 사용자는 CAPTCHA를 통과해야 악성코드를 다운로드할 수 있었습니다. Kaspersky는 BrowserVenom이 "특별한 알고리즘"을 사용하여 Windows Defender의 보호를 우회한다고 밝혔지만, 자세한 내용은 공개하지 않았습니다. 감염 과정은 Windows 사용자 프로필에 대한 관리자 권한이 필요하며, 그렇지 않으면 실행되지 않습니다.

피해 지역 및 주의 사항

Kaspersky는 피해자가 주로 브라질, 쿠바, 멕시코, 인도, 네팔, 남아프리카 공화국, 이집트 등지에 있다고 밝혔습니다. 피해자 수는 정확히 알려지지 않았습니다. Kaspersky의 보안 연구원인 Lisandro Ubiedo는 "오프라인에서 대규모 언어 모델을 실행하면 개인 정보 보호 이점이 있고 클라우드 서비스에 대한 의존도를 줄일 수 있지만, 적절한 예방 조치를 취하지 않으면 상당한 위험이 따를 수 있습니다."라고 경고했습니다.

오픈소스 AI 도구 악용 증가

사이버 범죄자들은 오픈소스 AI 도구의 인기를 악용하여 키로거, 암호화폐 채굴기 또는 정보 탈취 프로그램을 몰래 설치할 수 있는 악성 패키지 및 가짜 설치 프로그램을 배포하고 있습니다. 이러한 가짜 도구는 사용자의 민감한 데이터를 손상시키고 위협을 가하며, 특히 사용자가 검증되지 않은 출처에서 다운로드한 경우 더욱 그렇습니다.

악성코드 감염 예방, 출처가 불분명한 소프트웨어 다운로드 주의!

악성코드 감염을 예방하기 위해서는 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하고, 백신 프로그램을 최신 상태로 유지하는 것이 중요합니다. 또한, 구글 광고를 통해 다운로드하는 경우에도 웹사이트의 진위 여부를 꼼꼼히 확인해야 합니다. 출처가 불분명한 소프트웨어나 파일을 다운로드하는 행위는 자제해야 합니다.