안녕하세요? 동방안보보안대응센터(ESRC)입니다.
TikTok View Booster로 위장한 Quasar RAT가 발견되었습니다.
TikTok은 15초에서 몇 분 길이의 비디오 클립을 만들고 공유할 수 있는 짧은 형식의 비디오 플랫폼입니다.
많은 사용자가 TikTok 플랫폼 내에서 인플루언서가 되기를 열망하고 일부 사용자는 인플루언서가 되기 위해 프로그램을 사용하여 인위적으로 팔로워 수 또는 동영상 조회수를 늘리려고 합니다.
이번에 수집된 ESRC 악성파일은 틱톡 팔로워와 동영상 조회수를 늘리는 프로그램으로 위장해 ‘틱톡 뷰봇’이라는 이름으로 깃허브에 업로드됐다.
여기서 틱톡 봇으로 위장한 악성코드의 유포 방식은 원노트 파일(.one)을 통해 유포되는 악성코드와 마찬가지로 배치 파일(.bat)을 통해 유포된다는 점에 주목할 필요가 있다.
최근 공격자들은 다양한 형태의 악성 배치파일 유포 및 실행을 유도하여 악성코드 유포를 시도하고 있으므로 사용자의 주의가 요구된다.
사용자가 배치 파일을 실행하면 암호화된 내부 명령이 실행되고 최종적으로 Quasar RAT가 실행됩니다.
Quasar RAT은 사용자 계정 및 사용자 환경 정보 수집은 물론 원격 코드 실행, 파일 업로드/다운로드 등의 추가 악성 행위가 가능한 오픈소스 RAT 악성코드입니다.
현재 Alyaq은 악성 코드에 대해 우려하고 있습니다.
Trojan.Downloader.BAT.A, Backdoor.MSIL.Quasar.gen인식됩니다.
I.O.C
b1710063da023b2a8d77927ef2ae137d
e373700f9f0fa548bbcf2a22e9e8a3c0
9e777fd3e4031a743b949766cb1bcdd6