포스팅 내용

악성코드 분석 리포트

페이스북 메신저로 받은 악성 단축 URL 클릭 주의

크롬 브라우저 확장 프로그램을 악용한 페이스북 피싱 기법 주의!



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


8월 16일 오전부터 가짜 동영상 화면으로 위장된 악성 URL 링크가 페이스북(Facebook) 메신저를 통해 무작위로 전파되고 있어 사용자들의 각별한 주의가 필요합니다.


크롬(Chrome) 웹 브라우저가 활성화 되어 있고 페이스북에 로그인 되어 있을 경우, 감염된 페이스북 사용자의 메신저를 통해 비디오 동영상 링크로 위장된 단축 URL 주소가 전송됩니다. 


[그림 1] 페이스북 메신저로 전송된 악성 단축 URL 링크 화면


만약, 피해자가 페이스북 친구로부터 메신저를 통해 받은 해당 단축 URL 링크를 클릭하게 되면 보낸이의 프로필 사진으로 위장한 구글 DOC 사이트로 연결되며 재생버튼을 클릭하도록 유도합니다.


[그림 2] 단축 URL 링크를 클릭시 연결되는 docs.google.com 화면


이용자가 재생버튼을 클릭하게 되면 마치 유투브(YouTube) 사이트처럼 교묘하게 위장된 악성 사이트로 이동하게 되고, '광고 확장 추가' 버튼을 클릭하도록 유도하는 메시지가 보여집니다.


[그림 3] 재생버튼 클릭시 연결되는 유투브 위장 피싱 사이트 화면


해당 문구나 화면 등을 클릭하게 되면 'Depiv', 'Napeg' 등의 코덱으로 위장된 확장 프로그램 설치를 유도하게 되는데, 앱의 권한이 '방문하는 웹 사이트의 전체 데이터 조회 및 변경' 처럼 매우 유해할 수 있다는 것을 확인할 수 있습니다.


[그림 4] 확장 프로그램 설치를 유도하는 화면


해당 확장 프로그램이 추가되면 페이스북 로그인 화면을 띄워 계정 정보를 입력하도록 유도합니다. 만약 크롬 브라우저에 이미 로그인 된 상태라면 SNS 친구들에게 기존과 같은 악성 링크를 발송하게 되는 역할을 수행할 수 있습니다.


[그림 5] 확장프로그램 설치 이후 페이스북 로그인 시도 화면


아직까지 해당 링크 전파 기능외에 계정정보 탈취 시도는 확인되지 않았지만, 공격자의 의도와 공격수법에 따라 언제든지 관련 정보가 외부로 노출될 가능성도 있으므로, 유사한 피해에 노출되지 않도록 각별한 주의가 필요합니다.


만약에 페이스북 메신저를 통해 받은 악성 단축 URL 링크를 클릭하고, 확장 프로그램까지 설치한 경우에는 반드시 관련 확장 프로그램을 삭제해야 합니다.


먼저 실행 중인 확장 프로그램의 프로세스를 종료해야 하기 때문에 크롬 브라우저 우측 상단에 설정 메뉴에서 '도구 더보기 -> 작업 관리자'를 선택합니다.


[그림 6] 확장 프로그램 제거 설치 종 강제종료 과정


그 다음에 설치했던 확장 프로그램 'Depiv' 등을 찾아 프로세스를 강제로 종료시킵니다.


[그림 7] 확장 프로그램 프로세스 강제종료 화면


그 후 '도구 더보기 -> 확장 프로그램' 메뉴를 선택하고, 해당 'Depiv' 확장 프로그램을 삭제하시면 됩니다.


[그림 8] 확장 프로그램 삭제 과정


다만 이 프로그램 이름은 설치될 때마다 조금씩 달라지고 있으므로, 자신이 설치한 프로그램이 아닐 경우 직접 찾아서 삭제하시면 됩니다.


[그림 9] 확장 프로그램 삭제 완료 화면


이런 방식의 페이스북 피싱 기법은 광고수익을 얻기 위해 사용되거나 개인정보 탈취 등으로 악용되는 경우가 많으므로, 잘 알고 있던 지인이 보낸 URL 링크라도 함부로 클릭하지 말고, 보낸이에게 발송여부를 먼저 확인해 보는 습관이 중요합니다.


감사합니다.




티스토리 방명록 작성
name password homepage