가짜 다운로드 페이지 주의! Arctic Wolf, PuTTY 및 WinSCP 사칭 공격 발견

최근 사이버 보안 전문가 Arctic Wolf는 SEO 최적화된 가짜 다운로드 페이지를 이용해 악성코드를 유포하는 캠페인을 발견했습니다. 공격자들은 PuTTY와 WinSCP와 같이 IT 전문가들이 원격 서버에 안전하게 접속하기 위해 많이 사용하는 윈도우 툴을 사칭한 가짜 랜딩 페이지를 만들었습니다.

가짜 페이지의 함정

겉으로는 합법적인 페이지와 거의 동일하게 보이기 때문에, 구글 검색을 통해 해당 툴을 다운로드하려는 사용자들은 쉽게 속을 수 있습니다. 특히 IT, 사이버 보안, 웹 개발 전문가들이 주 타겟입니다. 가짜 사이트에서 다운로드하는 파일은 정상적으로 작동하지만, 동시에 Oyster라는 악성코드 로더를 설치합니다.

Oyster 악성코드 로더의 위험성

Oyster는 Broomstick 또는 CleanUpLoader라고도 불리는 악성코드 로더입니다. 감염된 시스템에 추가적인 악성 페이로드를 전달하는 데 사용되며, 다단계 공격의 일부로 활용되는 경우가 많습니다. Arctic Wolf에 따르면 Oyster는 실행 시 "twain_96.dll"이라는 악성 DLL 파일을 통해 백도어를 설치하고, 3분마다 실행되는 예약 작업을 생성하여 지속성을 유지합니다.

공격에 사용된 가짜 웹사이트

이번 공격에 사용된 가짜 웹사이트 주소는 다음과 같습니다: updaterputty[.]com, zephyrhype[.]com, putty[.]run, putty[.]bet, puttyy[.]org. 이러한 웹사이트들은 사용자들이 합법적인 소프트웨어를 다운로드하는 것으로 착각하도록 유도합니다.

다른 소프트웨어 사칭 가능성

Arctic Wolf는 현재까지 PuTTY와 WinSCP를 사칭한 사례만 확인했지만, 다른 툴들도 동일한 방식으로 악용될 가능성이 있다고 경고했습니다. 따라서 IT 전문가들은 소프트웨어를 다운로드할 때 각별한 주의를 기울여야 합니다.

안전한 다운로드를 위한 팁

소프트웨어를 다운로드할 때는 반드시 신뢰할 수 있는 공식 웹사이트를 직접 방문하여 다운로드해야 합니다. 구글 검색 결과 상위에 노출된 웹사이트라고 해서 무조건 안전하다고 믿어서는 안 됩니다. 주소창에 직접 URL을 입력하여 접속하는 것이 안전합니다.

결론

가짜 다운로드 페이지를 이용한 악성코드 유포는 점점 더 교묘해지고 있습니다. IT 전문가들은 물론, 모든 사용자들이 소프트웨어 다운로드 시 주의를 기울여야 합니다. 신뢰할 수 있는 출처에서만 다운로드하고, 보안 프로그램을 최신 상태로 유지하는 것이 중요합니다.