it

GPU 채굴 악성코드, SEO 포이즈닝·AI 챗봇으로 확산

발행: (2026년 5월 28일 AM 06:31 GMT+9)
7 분 소요
원문: Bleeping Computer

출처: Bleeping Computer

캠페인 개요

위협 행위자는 고성능 컴퓨터를 표적으로 하는 지속적인 크립토재킹 캠페인을 진행하고 있습니다. 이 캠페인은 검색 엔진 최적화(SEO) 오염 작업과 AI 챗봇 추천을 조작하는 연계된 공격을 통해 확산됩니다. 마이크로소프트 연구원은 이 캠페인을 발견했으며, 사용자가 인기 있는 유틸리티 소프트웨어를 검색했을 때 검색 순위가 상승된 악성 링크가 표시되어 공격이 시작된다고 밝혔습니다.

감염 경로

감염은 일반적으로 고성능 시스템 소유자가 설치하는 유틸리티의 악성 다운로드 페이지를 통해 이루어집니다. 대상 유틸리티 예시:

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K‑Lite Codec Pack
  • PDFgear

일부 경우에는 AI 기반 어시스턴트와 상호작용한 뒤 악성 도메인으로 리다이렉트됩니다. 마이크로소프트는 다음과 같이 설명합니다:

“이 경우, 소프트웨어 다운로드 추천을 위해 AI 챗봇에 질의한 사용자는 생성된 응답 안에 공격자가 제어하는 도메인으로 연결되는 링크가 표시되었습니다.”
Microsoft Security Blog

악성 다운로드

악성 다운로드는 이전에 피싱 활동으로 플래그된 gleeze.com의 서브도메인에 호스팅된 ZIP 아카이브입니다(Malwarebytes 보고서). 아카이브에는 다음이 포함됩니다:

  1. 광고된 유틸리티의 정식 실행 파일.
  2. 정상 바이너리가 실행될 때 자동으로 로드되는 악성 DLL.

이 DLL은 msiexec.exe를 이용해 ScreenConnect 원격 액세스 도구용 패키지 설치 파일인 vcredist_x64.dll을 설치합니다.

감염 후 활동

ScreenConnect 세션을 손상된 클라이언트와 설정한 뒤, 위협 행위자는 SimpleRunPE.exe라는 바이너리를 배포합니다. 이 바이너리는 자신을 RuntimeHost.exe라는 이름으로 숨김 폴더에 복사하고, 여러 Windows 자동 시작 위치에 여섯 개의 지속성 메커니즘을 구축합니다.

악성코드가 여섯 개의 지속성 메커니즘을 구축하는 모습
출처: Microsoft

대체 배포 방법

일부 경우에는 악성 PowerShell 스크립트를 통해 바이너리가 전달되며, 로컬에서는 인기 있는 VideoLAN 멀티미디어 플레이어인 vlc.exe라는 이름으로 저장됩니다.

프로세스 할로잉

프로그램 데이터베이스(PDB) 경로를 기준으로 볼 때, SimpleRunPE.exe는 프로세스‑할로잉 기법을 시연한 공개 저장소를 포크한 것으로 보입니다:

위협 행위자는 프로세스 할로잉을 사용해 Microsoft가 서명한 합법적인 .NET 바이너리에 악성 코드를 주입합니다. 대상 예시:

  • InstallUtil.exe
  • RegAsm.exe
  • RegSvcs.exe
  • MSBuild.exe
  • AppLaunch.exe
  • AddInProcess.exe
  • aspnet_compiler.exe

악성 바이너리는 또한 PowerShell을 호출해 Microsoft Defender의 제외 목록에 자신의 경로와 프로세스를 추가합니다.

안티‑분석 검사

악성코드는 가상 머신 여부를 확인하고, 분석 도구와 연관된 40개의 프로세스 이름 목록을 스캔합니다. 해당 프로세스가 감지되면 악성코드는 실행을 중단합니다.

채굴 페이로드

프로세스 할로잉 단계가 완료되면 세 가지 GPU‑전용 채굴 모듈 중 하나가 다운로드되어 실행됩니다:

  • gminer
  • lolMiner
  • SRBMiner‑MULTI

이 채굴 프로그램들은 암호화폐 채굴을 위해 GPU 활용도를 최대화하도록 설계되었습니다.

마이크로소프트는 이번 캠페인이 “감염된 장치당 GPU 채굴 수익을 극대화하도록 처음부터 설계된 타깃 및 수익화 전략”을 특징으로 하며, 단순히 감염 규모에 집중하지 않는다고 강조했습니다.

대응 방안

조직은 다음과 같은 방법으로 환경을 보호할 수 있습니다:

  • 마이크로소프트 보고서에 상세히 기술된 침해 지표(IOC)를 모니터링한다.
  • 마이크로소프트 보안 도구를 활용해 ScreenConnect 배포와 연관된 악성 DLL을 탐지·차단한다.
  • 특히 AI 챗봇이나 검색 엔진 결과에서 추천받은 경우, 인기 유틸리티에 대한 다운로드 위생을 엄격히 관리한다.

모든 이미지와 링크는 원본 기사에서 그대로 유지되었습니다.

0 조회
#it #security #tech-news
원문 보기
Share:
Back to Blog

관련 글

더 보기 »