유튜브를 통해 정보를 제공하는 것처럼 속이고 악성코드를 유포하는 대규모 캠페인이 발견됐다. 공격자는 영상 설명에 해당하는 '더보기'에 악성코드 다운로드 링크를 삽입해 설치를 유도하며, 감염될 경우 사용자 암호를 탈취한다.
공격자는 비트코인 채굴, 무료 다운로드, 소프트웨어 크랙 등 여러 키워드를 통해 사용자와 접촉한다. 가령 '무료 비트코인 채굴기(Free bitcoin mining)'나 '생성기(Generator)' 같은 키워드를 구글이나 유튜브에 검색할 경우 공격자가 올린 영상이 표시된다. 공격자는 더 많은 사용자를 속이기 위해 비트코인, 솔라나, 이더리움, 채굴 등과 관련한 수백 개의 키워드를 연결해 검색되도록 한다. 실제로 해당 키워드를 검색할 경우 최근 24시간 이내에 등록된 신규 유튜브 영상이 200개 이상 표시된다.
영상 내용은 마치 무료 채굴기를 사용하는 방법을 소개하는 것처럼 꾸며져 있고, 하단에 있는 '더보기' 버튼을 누르면 해당 소프트웨어를 내려받을 수 있다고 설명돼 있다. 여기서 제공한 링크를 클릭하면 사용자는 파일 공유 사이트를 통해 압축파일을 내려받게 된다. 압축파일은 백신 등에 탐지되는 것을 피하기 위해 비밀번호가 설정돼 있으며, 내부에는 실행파일과 자바스크립트 파일 등이 포함돼 있다.
사이버위협 인텔리전스 조직 클러스터25에 따르면 해당 악성코드는 사용자 비밀번호, 표시된 화면, 쿠키, 브라우저에 저장된 신용카드 등의 정보를 유출한다. 경우에 따라서 공격자가 명령을 내리기 전까지 아무런 활동을 하지 않으며 대기하는 방식으로 탐지를 회피하기도 한다. 클러스터25는 이번 캠페인의 일환으로 수천 개의 채널과 동영상이 동시다발적으로 등록됐으며, 특히 악성코드로 유출한 구글 계정을 통해 새로운 유튜브 영상을 올리는 방식으로 확장 중이라고 설명했다.
사용자가 이러한 공격으로 인한 피해를 예방하기 위해서는 '무료'라는 표현을 주의해야 한다. 공격자는 대부분 가상자산이나 소프트웨어 크랙, 채굴 등 사용자에게 경제적 이익을 줄 수 있는 키워드를 사용하며 접근하기 때문이다. 또 보안 강화를 위해 알 수 없는 링크를 통해 내려받은 파일을 함부로 실행하지 말고, 백신을 설치해 최신 버전으로 유지하며 각종 악성코드에 대응해야 한다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지