사이버보안 및 백신 전문 기업 카스퍼스키(Kaspersky)가 딥시크-R1(DeepSeek-R1) 환경 설치 프로그램을 위장한 가짜 파일을 통해 브라우저베놈(BrowserVenom)이라는 신종 악성코드가 유포되고 있다고 경고했다.
카스퍼스키의 조사에 따르면, 공격자는 딥시크 공식 홈페이지를 사칭한 피싱 사이트를 운영하며 사용자가 악성코드를 다운로드하도록 유도하고 있다.
카스퍼스키 연구진은 블로그 게시글에서 “경험에 관계없이 많은 사용자가 검색 엔진에서 챗봇 웹사이트를 찾고 있다. 이에 위협 행위자들이 LLM의 인기를 악용하기 시작했다. 브라우저베놈이 심어진 해당 피싱 사이트는 구글 광고를 통해 검색 결과 상단에 노출됐다”라고 설명했다.
해당 공격은 브라우저 트래픽을 모두 공격자 제어 하의 프록시 서버로 우회시키는 브라우저베놈을 배포한다. 이를 통해 트래픽을 조작하고 사용자 데이터를 수집할 수 있도록 설계됐다.
딥시크 클라이언트를 사칭하는 악성 프록시
가짜 딥시크-R1 다운로드 페이지는 사용자가 실제로는 존재하지 않는 데스크톱 클라이언트를 설치하도록 유도한다. 사용자가 다운로드하는 것은 실제로는 웹 트래픽을 우회시키는 맞춤형 브라우저 백도어다.
연구진은 “이 임플란트를 브라우저베놈이라 명명했다. 사용자의 모든 브라우징 인스턴스를 재구성해 트래픽을 공격자의 프록시로 강제 통과시키기 때문이다. 공격자는 민감한 데이터를 가로채고 피해자의 브라우징 활동을 실시간으로 감시하면서 트래픽을 복호화할 수 있다”라고 언급했다.
브라우저베놈이 설치되면 크로미움(Chromium) 기반 및 게코(Gecko) 기반 브라우저의 프록시 설정을 자동으로 수정한다. 이 임플란트는 구성 파일을 업데이트해 모든 HTTP/HTTPS 트래픽을 외부 프록시로 우회시킴으로써 지속성을 확보한다. 이로써 공격자는 사용자에게 알리지 않고 브라우저 경고도 유발하지 않으면서 브라우징 활동을 실시간 감청, 삽입 및 조작할 수 있다.
크로미움 기반 브라우저(예: 크롬, 마이크로소프트 엣지)의 경우 브라우저베놈이 프록시 서버 인자를 추가하고 기존 LNK 단축 아이콘 파일을 수정한다. 게코 기반 브라우저(예: 모질라 파이어폭스, 토르)에서는 사용자 프로필 환경설정을 변경해 동일한 효과를 유도한다.
연구진은 피싱 및 배포 사이트의 소스코드 분석 결과, 기능 설명 주석이 러시아어로 작성돼 있었다고 밝히며, 이를 통해 러시아어권 위협 행위자가 인프라를 개발했을 가능성이 있다고 분석했다.
카스퍼스키는 브라질, 쿠바, 멕시코, 인도, 네팔, 남아프리카공화국, 이집트 등에서 다수의 감염 사례를 발견했다고 설명했다.
캡차 활용해 사용자 의심 줄여
공격자는 활동에 신뢰성을 부여하고 사용자 의심을 낮추기 위해 두 차례에 걸쳐 가짜 캡차(CAPTCHA) 확인 절차를 삽입했다. 첫 번째는 사용자가 악성 딥시크 다운로드 사이트의 ‘지금 시도하기’ 버튼을 클릭할 때 등장하는 눈속임용 캡차 화면이다.
흥미롭게도 캡차 코드는 실제로 사용자가 사람인지 확인한다. 연구원들은 “버튼 클릭 시 사용자는 캡차 안티봇 화면으로 이동하게 되며, 이 화면의 코드는 난독화된 자바스크립트로 구성돼 있어 자동화된 봇이 아닌지를 확인하는 다양한 검증 절차를 실행한다”라고 설명했다.
캡차를 성공적으로 통과한 사용자는 ‘AI-Launcher-1.21.exe’라는 악성 설치 파일을 다운로드할 수 있는 페이지로 이동된다. 이 파일이 실행되면 브라우저베놈이 설치되고, 이어서 두 번째 캡차가 실행된다. 이는 사용자가 ‘로봇이 아닙니다’ 체크박스를 클릭하도록 유도하며, 클라우드플레어(Cloudflare) 테마로 구성된 검증 화면을 모방한다.
체크박스를 클릭한 뒤에는 사용자가 ‘올라마(Ollama)’ 혹은 ‘LM 스튜디오(LM Studio)’ 중 하나를 선택하라는 화면으로 이동된다. 이 플랫폼들은 로컬에서 딥시크를 실행할 수 있는 환경으로 알려져 있다. 그러나 어떤 옵션을 선택하든 브라우저베놈이 다운로드돼 실행된다. 공격자는 캡차 화면을 사회공학 기법의 미끼로 점점 더 자주 사용하고 있으며, 이를 통해 악성코드 배포를 신뢰할 수 있는 절차처럼 위장하고 있다. 이달 초에도 클라우드플레어의 턴스타일 캡차(Turnstile CAPTCHA)를 사칭해 사용자에게 악성 명령어를 복사 및 붙여넣기하도록 유도하는 피싱 캠페인이 보고된 바 있다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘검색 결과 상단에 노출’··· 딥시크 사칭 웹사이트 주의보
Source: News