1. 개 요


최근 가장 널리 사용되고 있는 SNS(Social Network Service)서비스의 채팅창을 통해 악성파일에 대한 유포 시도가 발견되어 사용자들의 각별한 주의가 요망되고 있다. 악성파일 유포 방법으로는 채팅창에 특정 파일의 다운로드가 가능한 URL을 뿌리는 등 사회공학적 기법이 사용되었으며, 해당 URL은 단축 변환 주소로 이루어져 있어 일반 사용자들의 경우 쉽게 현혹되어 클릭을 통한 감염이 이루어질 수 있다.
  

2. 유포 경로 및 감염 증상

현재 해당 악성파일은 아래의 그림과 같은 페이스북의 체팅창을 통해 주로 유포가 이루어지고 있으며, 유포되는 악성파일에 감염될 경우 해당 PC에서 특정 SNS 서비스를 이용하게 되면 친구로 등록된 지인들에게 무작위로 악성 URL을 채팅형태로 배포하게 된다.

잉카인터넷은 최근 국내외로 전파된 다수의 변형을 확보하여 긴급 업데이트를 완료한 상태이다.

 


위 그림과 같이 단축주소로 이루어진 악성 URL을 클릭하면 아래의 그림과 같이 악성파일을 다운로드할 수 있게 된다.


다운로드된 ZIP 파일의 압축을 해제 하면 아래의 그림과 같은 악성파일(숙주파일)을 확인할 수 있으며, 해당 악성파일에 감염될 경우 감염 시 생성되는 악성파일의 복사본(C:\WINDOWS\mdm.exe)에 의해 외부 특정 사이트와 지속적인 통신을 시도하는 등 C&C서버에서 추가적으로 악의적인 명령을 받아 수행할 수 있을 것으로 추정되고 있다.

 

※ 생성파일

- C:\WINDOWS\mdm.exe (195,072 바이트)


3. 예방 조치 방법

위와 같은 악성파일은 평소 자주 사용하는 SNS 서비스를 통해 가까운 지인과의 채팅창을 이용하여 유포가 이루어진다는 점에서 감염범위가 상당히 넓어질 수 있다. 또한 일반 사용자들에게는 생소할 수 있는 단축변환 URL을 사용하기 때문에 해당 URL에 대한 악성 유무를 판단하기에 어려움이 있을 수 있다.

또한, 최근 SNS 서비스는 스마트폰을 통해 주로 이용되므로 추후 안드로이드 기반 악성파일의 유포 등에도 악용될 수 있다. 때문에 PC 및 스마트폰의 안전한 사용을 위해서는 반드시 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Worm/W32.Fakefburl.180887
- Worm/W32.Fakefburl.195072
- Worm/W32.Fakefburl.141312




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

최근 미국에 대한 9.11 테러의 배후로 알려진 국제적 테러 조직 알 카에다를 이끌고 있는 오사마 빈 라덴이 사망하여 세계적인 이슈가 되고 있다. 이러한 세계적인 이슈에 발 맞춰(?) 사회공학 기법을 이용하는 Scam 형태의 페이스북용 악성 어플리케이션이 유포되고 있어 사용자들의 주의가 필요한 상황이다. 이번 글을 통해 해당 페이스북용 악성 어플리케이션을 살펴보고 미리 대비할 수 있는 시간을 가져보도록 하자.


해당 악성 어플리케이션은 특정 어플리케이션 광고 목적을 가지고 유포 중에 있으며, 이를 위해 오사마 빈 라덴의 사망 관련 소식을 악용해 사회공학 기법을 채용하는 형태로 아래의 그림처럼 특정 페이지를 통한 유포 방식을 취하고 있다. 또한, 감염되면 친구로 등록되어 있는 사용자들의 담벼락에 관련 글을 자동으로 게재하는 형태로 추가적인 감염을 유발할 수 있다.

위 그림의 적색박스와 같이 "STEP 1 ~ STEP 3"을 순서에 따라 진행하게 되면 자신의 페이스북에 관련 글이 게재되며, 아래의 그림과 같이 특정 어플리케이션의 광고, 유포, 관련 글 게재 등을 위해 "허가 요청" 창을 띄우게 된다.

각각, "Allow"와 "허가하기" 버튼을 클릭하면 해당 어플리케이션에 몇몇 권한이 부여되며, 아래의 그림과 같은 창을 보여주게 된다. 적색박스의 "Play Games Win Coins NOW!" 버튼을 클릭 시 특정 소셜게임과 관련된 창으로 이동하게 된다.

귀여운 고양이 이미지의 소셜게임 화면을 볼 수 있다. 국제적 테러조직 알 카에다를 이끄는 오사마 빈 라덴의 애완동물쯤 되는 것인가? "Start the Mission"을 클릭하게 되면 아래의 그림과 같이 소셜게임이 시작된다.

또한, 위에서 설명한 것과 같이 추가적인 감염 및 소셜 게임 광고를 위해 친구로 등록된 페이스북 사용자들의 담벼락에 아래의 그림처럼 관련 글이 자동으로 등록될 수 있다.

물론, 위와 같은 어플리케이션에 감염 후 부여되는 권한으로 인해 현재까지 금전적 손실 등 실질적이거나 물리적인 피해 상황은 발생하지 않고 있다. 다만, 최근 개인정보 노출 등으로 인한 보안 위협이 꾸준히 증가되는 추세이므로 충분한 주의를 통해 혹시 모를 피해에 대비하는 것이 현명한 선택일 수 있다.

혹시, 위와 같은 어플리케이션이 설치되어 있는 사용자 중 삭제를 원하는 경우가 있다면 아래의 방법을 참고하여 안전하게 어플리케이션에 대한 삭제를 진행할 수 있도록 하자.

  

◆ 삭제 방법

1. [계정] -> [개인 정보 설정] -> [앱과 웹사이트]"설정 관리" 클릭 -> [사용 중인 앱]의 "설정 관리" 클릭.

2. 아래의 그림과 같이 클릭을 통해 삭제 진행.

  

※ 추가적으로 현재, 오사마 빈 라덴 사망과 관련하여 실제로 아래의 그림과 같은 악성파일이 지속적으로 출현중에 있다.

  

위와 같은 악성파일들은 아래의 링크들과 같이 오사마 빈 라덴 사망과 관련하여 이미지나 영상파일 등으로 현혹한 후 스팸성 메일을 통한 첨부파일 형태로 유포될 수 있다. 아래의 링크들을 참고할 수 있도록 하자.

[Osama Bin Laden Death Scams]
http://ericamos.com/5-4-3-2-1-osama-bin-laden-death-scams/

[May 3 CVE-2010-3333 DOC Courier who led U.S. to Osama bin Laden's hideout identified ]
http://contagiodump.blogspot.com/2011/05/may-3-cve-2010-3333-doc-courier-who-led.html

[Blackhat SEO and Osama Bin Laden's death]
http://www.securelist.com/en/blog/6202/Blackhat_SEO_and_Osama_Bin_Laden_s_death

[Yes, Fotos_Osama_Bin_Laden.exe is Malware]
http://www.f-secure.com/weblog/archives/00002152.html


종합해보면, 현재 까지 파악되고 있는 오사마 빈 라덴 사망 관련 악성파일들은 SNS(Social Network Service)의 어플리케이션, Office 관련 취약점 등을 통해 감염을 시도하는 것으로 파악되었다.

또한, 구글 등에서 특정 단어의 검색 순위별로 제공되는 정보를 조작하는 기법인 Blackhat SEO를 통해 허위백신을 유포하는 경우도 있으니 사용자들은 반드시 OS 및 응용 프로그램의 최신 보안 패치, 신뢰할 수 있는 보안 업체 제공의 백신을 사용하는 등 관심과 주의를 통해 안전한 PC사용을 할 수 있도록 하자.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

요즘과 같은 스마트화 시대에 통신 수단으로 스마트폰을 사용하지 않는 사람들은 별로 없을 것이다. 또한, 스마트폰을 사용하면서 최근 대세인 SNS(Social Network Service)를 한가지 이상 사용하지 않는 사람들을 찾기도 쉽지 않을 것이다. SNS는 여러 사람들 간의 정보 공유와 소통 등 실시간으로 즐길 수 있는 컨텐츠를 우리에게 제공하며, 어찌 보면 뉴스 이상의 정보를 훨씬 빠르게 접할 수 있는 하나의 정보 수단으로 자리매김하고 있다.


최근 이러한 SNS를 통해 설치되는 앱 중 정보 공유의 용이함을 이용해 해당 앱 설치 시 사용자에게 몇 가지 권한에 대한 "허가 요청"을 하고, 그 권한을 이용해 사용자의 동의 없이 게시물 등록 등의 기능을 수행하는 앱이 늘고 있어 사용자들의 주의가 요구되고 있다.

위와 같은 앱은 설치 시 사용자에게 특정 기능에 대한 "허가 요청"을 하게 되며, "허가"할 경우 사용자로부터 몇 가지 권한을 부여받게 된다. 해당 앱은 부여받은 권한으로 아래의 그림과 같이 친구로 등록된 사용자의 담벼락에 별다른 동의 절차 없이 해당 앱에 대한 설치 유도 글을 게재할 수 있게 된다.


위 그림과 같이 담벼락에 게재된 글을 클릭할 경우 클릭한 사용자도 마찬가지로 해당 앱에 대한 설치가 이루어지며, 선택에 따라 "기본 정보에 접근, 이메일 수신, 담벼락에 게시" 등의 기능 수행 권한이 앱에게 부여될 수 있다.

물론, 위와 같은 앱이 설치되어 부여되는 권한으로 인해 현재까지 금전적 손실 등 실질적이거나 물리적인 피해 상황은 발생하지 않고 있다. 다만, SNS 및 스마트폰에 대한 보안 위협은 그 편리성과 함께 비례적으로 증가하는 추세이므로 충분한 주의를 통해 혹시 모를 피해에 대비하는 것이 현명한 선택일 수 있다.

혹시, 해당 앱이 설치되어 있는 사용자 중 삭제를 원하는 경우가 있다면 아래의 삭제 방법을 참고하여 안전하게 앱 실행에 대한 차단을 할 수 있도록 하자.
  

◆ 삭제 방법

1. [계정] -> [개인 정보 설정] -> [앱과 웹사이트]"설정 관리" 클릭 -> [사용 중인 앱]"설정 관리" 클릭.

2. 아래의 그림과 같이 클릭을 통해 삭제 진행.

  

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


2011년 발렌타인 데이가 다가오고 있다. 흔히 연인들끼리 초콜릿을 주고받는다는 발렌타인 데이는 최근의 보안 위협 트렌드로 미루어보아 이제 더이상 초콜릿이 오가는 훈훈한 장면만 연출되지는 않을 전망이다. 2011년 2월 10일 해외 보안 업체로부터 페이스북(Facebook)을 통한 악성 어플리케이션 유포사례에 대한 보고가 있었으며, 작년에 이어 올해도 이러한 사회적 이슈를 노린 사회공학적 기법이 악성파일 유포의 한 방법으로 자리 잡고 있기 때문이다.

2. 감염경로 및 증상

이번에 보고된 악성 어플리케이션은 아래의 그림처럼 페이스북의 담벼락 등을 통해 유포되는 것으로 알려졌다.

참고 : http://nakedsecurity.sophos.com/2011/02/10/valentines-day-scam-spreads-virally-on-facebook/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29


위 그림을 살펴보면 삽입된 링크가 단축주소와 같은 변환주소임을 알 수 있다. 변환주소는 사용자들이 원래 주소를 직접 확인하기가 까다롭기 때문에 악성파일 등의 유포기법으로 최근 다수 사용되고 있으므로 접근에 반드시 주의해야 할 필요가 있다.

※ 단축주소에 대한 정보는 아래 게시글의 하단 부분에서 확인할 수 있다.

http://erteam.nprotect.com/94

이러한 페이스북용 악성 어플리케이션에 감염되면 아래의 그림과 같이 담벼락 등의 게시글에 대한 허용 여부를 묻게 되며, 허용할 시 자신의 페이스북에 등록된 지인들에게 아래의 문구와 함께 해당 악성 어플리케이션이 유포되고 있는 링크가 포함된 글을 게재하는 것으로 알려졌다.

참고 : http://nakedsecurity.sophos.com/2011/02/10/valentines-day-scam-spreads-virally-on-facebook/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29


※ 감염 후 담벼락 등을 통해 게재되는 문장

Is there a girl/boy you really like? why not show him/her via Facebook! give him/her a Love Poem and a Love Heart straight to his/her wall! Get Started Here: [악성 어플리케이션 유포 단축주소]

위와 같은 감염 경로에 따라 감염되면 아래의 그림과 같은 어플리케이션이 실행된다.

보통 이러한 페이스북용 악성 어플리케이션들은 사용자의 정보 등에 대한 수집과 더불어 특정 어플리케이션에 대한 광고효과를 목적으로 제작 및 유포되는 것으로 알려졌다.

3. 예방 조치 방안

네이트온 쪽지 혹은 트위터와 같은 SNS(Social Network Service)를 통해 유포되는 악성파일의 경우 대부분 감염된 PC의 사용자 정보를 수집하여 이를 악성파일 재유포에 이용한다. 동일한 콘텐츠를 통해 수집된 사용자 정보로 해당 악성파일이 유포되기 때문에 많은 사용자들이 현혹되어 지속적인 감염이 이루어질 수 있는 점이 특징이라 할 수 있다.

또한, 이번 발렌타인 데이와 같이 사회적으로 이슈가 될만한 사항은 악성파일 제작자가 위에서 설명한 방법을 통해 많은 사용자들을 현혹시켜 악성파일 유포 방법으로 손쉽게 악용할 수 있다. 때문에 사용자들은 이러한 보안 위협으로부터 안전할 수 있도록 항상 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화할 필요가 있으며, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용함과 동시에 ▶출처가 불분명한 이메일에 대한 열람 또는 첨부 파일에 대한 다운로드를 지양해야 한다. 더불어 ▶발렌타인 데이와 같은 사회적 이슈 기간에는 위에서 설명한 보안 수칙에 대해 더욱더 높은 관심을 기울일 필요가 있다.

※ 잉카인터넷 대응팀에서는 이러한 사회적 이슈 기간에도 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개요


페이스북(Facebook) 대화창을 통한 악성파일 유포 사례2010년 12월 14일 오전 국내 특정 언론사를 통해 보도 되었으며, 하기의 그림과 같이 발신처가 페이스북처럼 위장된 스팸 메일 또한 국내에 유입된 것으로 보고 되었다. 이번에 발견된 페이스북 대화창을 이용한 악성파일 유포와 위장형 스팸 메일을 통한 악성파일 유포 방식은 최근 두드러지게 발생하고 있는 사회공학적 기법이며, 여전히 악성파일 유포에 유용하게(?) 사용되고 있다는 단면을 보여주고 있다.


아래의 그림과 같이 이번에 발견된 스팸 메일의 경우 본문에 링크된 URL을 통해 다운로드 될 것으로 예상되는 gong.html 파일(하기 그림의 하단 적색박스 부분) 이 현재 정상적으로 열리지 않고 있다.


페이스북 채팅창을 이용한 악성파일 유포 사례에 대해 사용자들이 피해를 입지 않기를 바라는 마음으로 이번 글을 게재하는 만큼 하기의 내용을 잘 살펴보고 다시한번 이와 같은 사회공학적 기법의 악성파일 유포에 대해 경각심을 유지하는 시간을 가져보도록 하자.

2. 감염 과정

이번 악성파일은 페이스북 대화창을 통해 확산된다고 알려졌으며, 확산 방법은 하기의 그림과 같이 페이스북 관련으로 위장된 URL의 링크를 전송하여 사용자의 클릭을 유도하는 방식을 취한다.

출처 : http://www.ohmynews.com/nws_web/view/at_pg.aspx?CNTN_CD=A0001492491


위 그림과 같이 대화창을 통해 보여지는 해당 URL을 클릭할 경우 하기의 그림과 같이 페이스북으로 위장된 사이트로 이동하게 된다.


해당 사이트는 정상 페이스북 사이트와 유사한 이미지를 사용한 허위 사이트이다. 특이할 만한 사항은 위의 적색박스에 있는 페이스북 로고를 통해 페이스북 메인페이지로 이동이 불가하다는 점이다.

해당 허위 사이트로 이동되면 상기의 그림과 같이 비밀번호 입력과 관련한 경고창을 보여주며, "계속하기" 버튼 클릭을 유도한다. "계속하기" 버튼을 클릭할 경우 하기와 같은 사이트로 이동되며 사진이 옮겨졌다는 문구와 함께 또 다시 "View Photo" 버튼 클릭을 유도한다.


위 그림에서 보여지는 "View Photo"버튼을 틀릭하면 하기의 그림처럼 마치 이미지와 관련된 파일명으로 위장한 악성파일의 다운로드 창을 보여준다.


3. 감염 증상

위의 설명과 같이 다운로드된 악성파일에 감염될 경우 하기의 그림과 같이 자신의 복사본을 숨김 속성으로 윈도우 폴더에 생성하며, 해당 파일은 그림파일과 유사한 아이콘을 가진다.


또한, 하기의 레지스트리 값에 의해 윈도우 시작시 자동으로 함께 실행 되도록 등록된다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 - 값 이름 : "NVIDIA driver monitor"
 - 값 데이터 : "c:\\windows\\nvsvc32.exe"

※ 그래픽카드 개발 업체인 NVIDIA와 관련하여 레지스트리 값 이름을 위장한 것이 특징이다.

해당 악성파일에 감염될 경우 채팅창을 통해 페이스북에 등록된 모든 "친구"들에게 위에서 언급하였던 "페이스북으로 위장된 사이트"로 이동이 가능한 링크를 전송하게 되는 것으로 알려져 있다.

※ 현재는 해당 악성파일이 실행될 경우 Internet Explorer가 실행되면서 유명 소셜 네트워크 서비스(Social Network Service)인 Myspace의 Browse People 페이지에 연결되고 있으니 참고하기 바란다.

또한, 하기의 그림과 같이 특정 웹 사이트와의 통신을 위한 연결 세션을 맺고 있어 추가적인 악성동작이 이루어 질 가능성이 있다.


4. 예방 조치 방법


위와 같이 발신처를 위장하여 스팸 메일을 이용한 사회공학적 기법의 악성파일 유포는 최근 두드러지게 나타나고 있으며, 해당 건과 같이 소셜 네트워크 서비스(Social Network Service)를 악용한 악성파일 유포는 이미 이전에도 발생해 주의를 당부한 바 있다.

[잉카인터넷 보안리포트]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

때문에 해당 건과 유사한 악성파일 유포 사례는 지속적으로 발생할 가능성이 크며, 이러한 유형의 악성파일 유포로부터 안전하기 위해서는 ▶인스턴트 메신저 이용시 쪽지, 대화창을 유심히 살펴본 후 출처가 불분명한 사이트 링크에 대한 클릭을 자제해야 한다. 또한, ▶출처가 불분명한 이메일의 경우 확인하지 말고 삭제하는 습관을 들여야 하며, 만일 이메일을 열람할 경우 첨부된 파일에 대한 다운로드는 자제해야 한다.

nProtect Anti-Virus 제품군에서는 해당 건과 관련하여 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도 

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

 
트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)


2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.


본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.


본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다. 

※ 피싱(Phishing)이란? 

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다. 


최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.


버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.


여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect