Microsoft, SEO 포이즈닝과 AI 챗봇을 통해 유포되는 GPU 채굴 악성코드 경고 — 인기 PC 유틸리티로 위장하여 게이머 및 고사양

Microsoft는 SEO 포이즈닝 (SEO poisoning)과 일부 관찰된 사례에서는 AI 챗봇이 생성한 소프트웨어 추천을 사용하여, 인기 있는 PC 유틸리티로 위장한 GPU 채굴 악성코드를 다운로드하도록 사용자를 유인하는 진행 중인 크립토재킹 (cryptojacking) 캠페인을 발견했습니다. Microsoft Defender Experts와 Microsoft Defender 보안 연구 팀이 화요일에 발표한 상세 위협 보고서에 따르면, 이 작전은 게이머, 하드웨어 애호가, AI 사용자 및 오버클러커(overclockers)를 포함하여 고성능 그래픽 카드를 소유했을 가능성이 높은 사용자를 구체적으로 겨냥했습니다.

이 캠페인은 CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack, PDFgear와 같이 널리 사용되는 유틸리티를 사칭했습니다. 전통적인 검색 엔진에서 — 그리고 일부 사례에서는 AI 챗봇의 추천을 통해 — 해당 소프트웨어를 검색하는 피해자들은 악성 ZIP 압축 파일을 호스팅하는 공격자 제어 다운로드 페이지로 리디렉션된 것으로 보고되었습니다.

Microsoft는 공격자들이 감염 규모를 최대화하는 것보다는 수익성 있는 암호화폐 채굴에 적합한 강력한 외장 GPU (discrete GPUs)를 탑재한 시스템을 침해하는 데 더 집중하고 있는 것으로 보인다고 밝혔습니다. 일단 설치되면, 이 악성코드는 정식 원격 관리 도구인 ScreenConnect를 사용하여 지속적인 원격 액세스 소프트웨어를 배포한 후, lolMiner, gminer, SRBMiner-MULTI와 같은 GPU 채굴 페이로드 (payloads)를 조용히 로드합니다.

이 공격 체인은 일반적으로 더 진보된 악성코드 작전과 관련된 은폐 기술에 크게 의존했습니다. 다운로드된 압축 파일에는 정식 소프트웨어 설치 프로그램과 함께 DLL 사이드로딩 (DLL sideloading)을 통해 자동으로 로드되는 악성 DLL이 포함되어 있었습니다. 거기에서 악성코드는 6개의 별도 지속성 메커니즘을 구축하고, Microsoft Defender 제외 항목을 추가하며, 가상 머신 및 보안 분석 도구를 확인하고, 프로세스 할로잉 (process hollowing) 기술을 사용하여 MSBuild.exe, InstallUtil.exe, RegAsm.exe와 같이 Microsoft가 서명한 신뢰할 수 있는 .NET 유틸리티에 채굴 코드를 주입했습니다.

하지만 이 캠페인의 가장 이례적인 측면은 일부 악성 도메인이 AI 챗봇과의 상호작용을 통해 나타났을 수 있다는 Microsoft의 관찰 결과입니다. Microsoft에 따르면, 거대 언어 모델 (LLM) 기반 어시스턴트에게 소프트웨어 다운로드 추천을 요청한 사용자들에게 생성된 응답에 포함된 공격자 제어 도메인 링크가 일부 사례에서 제공되었습니다. Microsoft는 이 사례가 예시일 뿐이며 “특정 AI 서비스의 체계적인 문제를 나타내는 것은 아니다”라고 강조하면서도, 이러한 활동이 새롭게 등장하는 AI 지원 검색 포이즈닝 (search-poisoning) 기술과 일치하는 것으로 보인다고 언급했습니다.

Microsoft의 분석에 따르면, 이 작전은 적어도 2026년 3월부터 활발히 진행되었으며 신뢰할 수 있는 유틸리티 다운로드 포털로 위장한 150개 이상의 악성 도메인이 연루되었습니다. 많은 다운로드 파일이 gleeze.com의 서브도메인에 호스팅되었는데, 이는 과거 피싱 및 멀웨어 캠페인에서 자주 사용되었던 Dynu 동적 DNS (dynamic DNS) 서비스와 연결된 인프라입니다.

초기 감염 과정 자체는 기만적일 정도로 단순했습니다. 피해자들은 합법적인 유틸리티 실행 파일과 autorun.dll이라는 이름의 악성 DLL이 모두 포함된 ZIP 압축 파일을 다운로드했습니다. 합법적인 애플리케이션이 실행되면, Windows는 DLL 사이드로딩 (DLL sideloading)을 통해 동일한 디렉토리에서 악성 DLL을 자동으로 로드했습니다. 이는 소프트웨어 취약점 (exploit)을 필요로 하지 않으며 종종 눈에 보이는 침해 흔적을 남기지 않는, 오래된 Windows 악용 기술입니다.

Get Tom's Hardware's best news and in-depth reviews, straight to your inbox.

그 후, 멀웨어는 ConnectWise Control로도 알려진 합법적인 기업용 원격 관리 플랫폼인 ScreenConnect를 조용히 설치했습니다. Microsoft는 ScreenConnect 자체가 악성인 것은 아니지만, 공격자들이 보안 감시를 피하기 위해 합법적인 원격 모니터링 및 관리 (RMM) 도구를 점점 더 오용하는 것과 동일한 방식으로 위협 행위자들에 의해 악용되고 있음을 강조했습니다.

원격 접속이 설정되면, 공격자들은 SimpleRunPE.exe라는 바이너리를 배포했습니다. Microsoft는 이것이 공개적으로 사용 가능한 GitHub의 프로세스 할로잉 (Process Hollowing) 개념 증명 (PoC) 프로젝트에서 일부 유래했을 가능성이 있다고 보고 있습니다. 이 악성코드는 자신을 RuntimeHost.exe라는 이름으로 숨겨진 Windows 디렉토리에 복사하고, 지속성 (Persistence) 유지를 위해 예약된 작업 (Scheduled Tasks) 및 시작 프로그램 항목을 생성했으며, 사용자나 관리자가 이를 제거하려고 시도하더라도 Microsoft Defender 제외 항목을 반복적으로 다시 추가했습니다.

또한 이 악성코드는 성능을 중시하는 PC 사용자들의 탐지를 피하기 위해 특별히 설계된 것으로 보입니다. Microsoft에 따르면, 이 채굴기 (Miner)는 GPU 사용률, 시스템 유휴 시간 (Idle time), 게임 활동 및 스트리밍 워크로드를 모니터링하여, 과도한 GPU 활동이 감지될 때마다 채굴 작업을 중단했습니다. 실제로 이러한 방식은 갑작스러운 프레임 속도 저하, 과열, 또는 사용자가 침해 사실을 알아차릴 수 있는 지속적인 GPU 팬 소음과 같은 명백한 경고 신호를 줄였을 가능성이 높습니다.

탐지를 더욱 회피하기 위해, 악성코드는 활성화되기 전 광범위한 안티 분석 (Anti-analysis) 검사를 수행했습니다. 소프트웨어는 시스템을 스캔하여 가상 머신 (Virtual-machine) 흔적, 디버깅 도구, 역공학 (Reverse-engineering) 플랫폼, 패킷 분석기 및 Wireshark, ProcMon, x64dbg, dnSpy, IDA, Ghidra를 포함한 포렌식 유틸리티를 찾아냈습니다. 만약 이러한 도구 중 하나라도 감지되면, 악성코드는 스스로 종료되었습니다.

Microsoft는 악성코드 운영자들이 궁극적으로 침해된 시스템을 사용하여 lolMiner, gminer, SRBMiner-MULTI를 포함한 여러 GPU 중심 암호화폐 채굴기 중 하나를 배포했다고 밝혔습니다. 채굴기를 악성코드에 직접 내장하는 대신, 페이로드 (Payload)는 GPU 모델, CPU 사양, 설치된 안티바이러스 소프트웨어, 메모리 구성 및 전반적인 시스템 활동을 포함하여 피해자 시스템에 대한 광범위한 정찰 (Reconnaissance)을 수행한 후 가장 적합한 채굴 소프트웨어를 동적으로 다운로드했습니다.

이번 캠페인은 공격자들이 이제 검색 엔진뿐만 아니라 AI 보조 탐색 시스템 (AI-assisted discovery systems)까지 겨냥하고 있다는 놀라운 전개를 보여줍니다. 전통적인 SEO 포이즈닝 (SEO poisoning)은 수년 동안 존재해 왔지만, 소프트웨어 추천을 위해 AI 챗봇 (AI chatbots) 및 LLM 기반 어시스턴트 (LLM-powered assistants)의 사용이 증가함에 따라, 생성된 응답을 통해 악성 사이트가 추가적인 가시성을 확보하는 새로운 공격 표면 (Attack surface)이 만들어질 수 있습니다. 사용자는 각별한 주의가 필요합니다. 겉보기에 설득력 있는 웹사이트에서 다운로드한 매우 친숙한 유틸리티라 할지라도, 특히 공식 벤더 페이지가 아닌 제3자 미러 사이트나 AI가 제공한 링크를 통해 얻은 경우 숨겨진 악성코드 페이로드 (Malware payloads)를 포함하고 있을 수 있기 때문입니다.

최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 저희를 기본 소스로 추가하세요.

Etiido Uko는 빅테크 및 PC 산업의 최신 업데이트를 다루는 Tom's Hardware의 뉴스 기고자입니다. 그는 기계 공학자이자 문서화 및 리포팅 분야에서 9년 이상의 경력을 가진 시니어 테크니컬 라이터 (Senior technical writer)입니다. 그는 공학 및 기술의 모든 것에 깊은 열정을 가지고 있으며, 가젯, 제조, 로보틱스, 자동차 및 항공우주 분야의 전문가입니다.