1. 개 요


페이스북을 이용한 악성파일 유포 사례가 발견되어 페이스북 사용자들의 경우 해당 악성파일에 대해 감염되지 않도록 각별한 주의가 필요할 것으로 예상된다. 이번에 확인된 악성파일 유포 방식은 지난 2010년 12월 14일 게재하였던 글과 유사한 방식을 취하고 있으며, 세계적으로 지속적인 사용자 증가 추세를 보이고 있는 SNS(Social Network Service)를 악용하고 있다는 측면에서 향후 악성파일 유포 등의 지속적인 보안 위협으로 작용할 전망이다.

참고 : 페이스북(Facebook) 대화창 기능을 이용한 악성파일 국내 유입 주의

http://erteam.nprotect.com/90

2. 감염 경로

해당 악성파일은 페이스북 URL을 이용한 특정 주소를 통해 유포되고 있다. 이메일의 첨부 파일이나 메일 본문에 악성파일 유포 주소 링크를 삽입하여 유포할 수 있으며, 또한 메신저나 SNS 등에 해당 링크를 게재해 유포가 가능하다.

해당 악성파일을 유포하고 있는 주소에 접근하게 되면 아래의 그림과 같은 창을 보여주게 되며, 악성파일 유포에 페이스북 사이트를 이용한 것이 주된 특징이라고 할 수 있다.

그림을 클릭하시면 큰 화면을 보실 수 있습니다.


위 그림과 같은 사이트로 이동하게 되면 파일에 대한 다운로드를 두 가지 방법을 통해 유도하고 있으며, 적색박스의 "View Photo" 버튼 또는, 상단 부분의 다운로드를 위한 알림창 클릭 유도가 그것이다.

두 가지 방법 모두 결국 특정 파일에 대한 다운로드를 위한 방법이며, 다운로드 시 아래의 그림과 같은 창을 보여주게 된다.


다만, "View Photo" 버튼을 클릭 후 "저장"이 아닌 "실행" 버튼을 누르게 되면 아래 그림과 같은 경고창과 함께 디지털 서명 문제로 파일의 실행이 차단될 수 있다.


최종적으로 다운로드 되는 악성파일은 아래의 그림과 같다.


해당 악성파일은 파일명에 "photo" 문구를 사용해 일반 사용자로 하여금 사진관련 파일로 현혹될 수 있게 한다.

현재까지 해당 악성파일로 인한 특별한 피해 사례는 보고되지 않고 있으나, SNS를 이용한 악성파일의 추가적인 유포에 등에 대비해 지속적인 분석과 관제작업이 필요하다.

3. 예방 조치 방법

SNS를 이용한 악성파일 유포의 경우 단축주소와 같은 변환주소 사용으로 사용자들이 정상 URL 여부에 대한 확인이 어렵다. 또한, 이번 사례와 같이 정상 URL 등을 이용해 악성파일을 유포할 경우 사용자들은 해당 주소로 별다른 의심 없이 접속해 악성파일에 대한 다운로드 및 감염이 이루어질 수 있다.

이러한 보안 위협으로부터 안전하기 위해 사용자들 스스로 보안 위협에 대한 관심을 가지는 것이 무엇보다 중요하며, 항상 ▶윈도우와 같은 OS 및 각종 응용 프로그램 최신 보안패치의 생활화, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 것, 또한 ▶출처가 불분명하거나 신뢰할 수 없는 이메일의 열람 및 첨부 파일에 대한 다운로드 자제, 마지막으로 ▶메신저나 SNS에 등록되어 있는 링크 등의 접속 시 주의를 기울이는 것이 악성파일로부터 PC의 안전을 지키기 위한 최선의 방법이 될 수 있다.

※ 잉카인터넷 대응팀에서는 이러한 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 SNS(Social Network Service)를 통해서 다양한 정보 공유가 이루어지고 있다. SNS를 통해서 공유되는 수많은 정보 중에는 다듬어지지 않았거나 신뢰할 수 없는 정보 또한 존재하며, 이러한 정보에 대한 접근 시 뜻하지 않는 피해를 입을 수 있다. 최근 대표적인 SNS 페이스북(Facebook)을 통해 스팸 기능의 글에 대한 유포 사례가 보고되어 사용자들의 주의가 필요하다.


이번에 보고된 사례는 스팸 기능의 글에 포함된 링크를 클릭할 경우 사용자의 지인들에게 해당 글을 재유포하는 형태이기 때문에 더욱 세심한 관심이 필요하다.

2. 감염 경로 및 증상

Facebook의 담벼락을 통해 아래의 그림과 같이 "CHAT DE AMIGOS", "Grupo de Amistad" 등의 이름을 가지는 위젯 형태의 글을 남겨 사용자의 클릭을 유도해 전파하는 것으로 알려졌다.


해당 글을 클릭하게 되면 애플리케이션의 허가 요청 절차를 거친 후 아래의 그림과 같은 페이지를 보여주게 된다.


위 그림의 "ENTRAR" 버튼을 클릭할 경우 해당 위젯 형태의 글을 친구로 등록된 지인들에게 재전송하는 것으로 추정되며, 아래의 그림과 같은 특정 사이트를 홈페이지로 변경하기 위해 "홈페이지 추가 및 변경" 창을 보여주게 된다.

http://yacteka.net


위와 같은 일종의 감염 절차를 거치면 비로소 페이스북용 애플리케이션(Grupo)의 설치가 완료된 후 플래시게임이 실행된다. 해당 애플리케이션 설치로 인한 "홈페이지 변경 및 특정 사이트에 대한 광고 효과" 외에 추가적인 피해 사례는 아직까지 보고되지 않고 있다.

만일 위에서 설명한 위젯 형태의 글이 자신의 페이스북 계정에서 확인되면, 아래의 페이스북용 애플리케이션 삭제 방법을 참고하여 해당 애플리케이션을 삭제할 수 있도록 하자.

■ 페이스북용 애플리케이션 삭제 방법

. 아래의 그림과 같이 우측 상단의 "계정" -> "개인 정보 설정" -> "설정 관리" 를 클릭하여 이동한다.


. 아래의 그림과 같이 "설정 관리" 버튼을 클릭한다.


. 마지막으로 아래의 그림과 같은 화면으로 이동되면 원하는 애플리케이션에 대해 "X" 버튼을 이용한 삭제를 진행한다.


3. 예방 조치 방법

각종 정보를 얻기 쉬운 요즘 손쉬운 정보 획득으로 인해 원치 않는 피해를 입기도 쉽다는 점을 인지하여 신뢰할 수 있는 곳에서 보내온 정보일지라도 첨부 파일 및 링크, URL 등은 신중하게 확인 후 접근하는 등 사용자 스스로의 주의가 필요하다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect