Kaspersky 연구원들은 사용자가 컴퓨터에 라이브 배경 화면을 만들고 공유할 수 있도록 허용하는 Steam에서 인기 있는 응용 프로그램인 Steam Workshop 및 Wallpaper Engine을 활용하여 악성 코드 확산 캠페인이 진행 중임을 발견했습니다.
연구팀은 수천 건의 다운로드와 함께 많은 배경화면 패키지에 악성 코드가 설치된 것을 확인했습니다. 이 캠페인의 주요 목표는 중국과 러시아의 Steam 사용자이며, 싱가포르, 홍콩(중국), 독일, 베트남, 인도 및 캐나다의 피해자도 있습니다. 공격자의 목표는 게임 계정을 훔치고 피해자의 장치에 다른 유형의 악성 코드를 추가로 배포하는 것입니다.
Steam Workshop는 Steam 플랫폼에 통합된 기능으로, 사용자가 모드, 사용자 정의 지도, 게임 아이템 및 장치 배경 화면과 같이 커뮤니티에서 만든 콘텐츠를 쉽게 검색, 설치 및 관리할 수 있도록 합니다. 한편, Wallpaper Engine 응용 프로그램은 비디오, 인터랙티브 장면, 웹사이트 및 응용 프로그램을 포함한 다양한 배경 화면 형식을 지원합니다.
응용 프로그램 형태의 배경 화면 지원 기능을 통해 프로그램이 사용자 Windows 컴퓨터에서 직접 실행될 수 있습니다. 이는 공격자가 합법적인 가짜 콘텐츠라는 명목으로 악성 소프트웨어를 배포할 수 있는 허점을 무심코 만듭니다. Kaspersky는 Steam Workshop에 게시된 악성 코드에 감염된 수십 개의 배경 화면 패키지를 발견했습니다. 이 패키지 중 많은 수가 수천, 심지어 수만 건의 다운로드를 기록했습니다.
공격자는 주로 두 가지 주요 악성 코드 배포 방법을 사용합니다. 첫 번째 방법은 악성 실행 파일, DLL 라이브러리 및 명령어 집합을 배경 화면 패키지에 직접 삽입하는 것입니다. 다른 경우 악성 코드는 비밀번호 보호가 있는 압축 파일에 숨겨져 있으며, 비밀번호는 파일 이름 또는 구성 파일에 미리 삽입되어 있습니다. 배경 화면을 설치한 후 악성 코드가 자동으로 활성화되고 실행됩니다.
공격은 단일 그룹이 아닌 여러 그룹 또는 개인에 의해 수행될 가능성이 높으며 특정 악성 코드 계열에만 국한되지 않습니다. 많은 경우 Kaspersky는 Lumma 및 Vidar와 같은 정보를 훔치는 악성 코드 라인과 RenEngine 악성 코드 로더를 배포하는 악성 배경 화면을 발견했습니다. Kaspersky의 보안 솔루션은 현재 이 캠페인과 관련된 모든 유형의 악성 코드를 감지하고 차단할 수 있습니다.
Kaspersky의 사이버 보안 전문가인 Maxim Starodubov는 "신뢰할 수 있는 플랫폼조차도 악성 코드를 배포하는 데 악용될 수 있습니다. 이러한 공격은 합법적인 생태계에 저장된 콘텐츠에 대한 사용자 신뢰를 기반으로 합니다. 사용되는 악성 코드의 대부분은 이전부터 알려져 있었지만, 이 배포 메커니즘은 여전히 해커가 무해해 보이는 콘텐츠를 통해 많은 잠재적 피해자에게 접근하는 데 도움이 됩니다."라고 말했습니다.
사용자를 보호하기 위해 Kaspersky 전문가들은 다음과 같은 조언을 했습니다.
신뢰할 수 있다고 여겨지는 출처를 포함하여 모든 응용 프로그램을 다운로드할 때 주의하십시오.
커뮤니티에서 공유하는 콘텐츠를 설치하기 전에 개발자 또는 콘텐츠 제작자의 신뢰성과 진위성을 확인하세요.
신뢰할 수 있는 보안 솔루션을 사용하여 위협을 감지하고 예방하십시오.
