페이스북 메신저를 통해 배포 되는 윈도우/MacOS/리눅스 악성코드 주의!

Beware of Windows/MacOS/Linux Virus Spreading Through Facebook Messenger

혹시 모르는 누군가에게, 심지어 친구들이라도 비디오 링크가 포함된 페이스북 링크를 받는다면 함부로 클릭하지 말아야 합니다. 

최근 보안연구원들은, 페이스북 메신저에서 가짜 웹사이트로 이동되는 비디오 링크가 유포되고 있으며, 해당 링크를 클릭하면 악성 SW 설치를 유도하는 크로스 플랫폼 캠페인을 발견하였습니다. 

<이미지 출처 : http://thehackernews.com/2017/08/facebook-virus-hacking.html>

이 악성코드가 어떻게 배포되는지 아직 확실히 밝혀지지는 않았지만, 연구원들은 스패머들이 악성 링크를 배포하기 위해 해킹된 계정, 하이잭 된 브라우저 혹은 클릭재킹 기술을 사용하는 것으로 추측하였습니다. 

공격자들은 소셜 엔지니어링 기법을 사용해 사용자들이 비디오 링크를 클릭하도록 속입니다. 위와 같이 “<친구이름> Video”라는 메시지와 함께 bit.ly 링크를 보냅니다.

이 크로스 플랫폼 악성코드의 작동법

<이미지 출처 : http://thehackernews.com/2017/08/facebook-virus-hacking.html>

이 URL은 보낸이의 이미지를 기반으로 한 동적 생성 된 비디오 썸네일을 표시하는 구글 문서로 이동시킵니다. 이 이미지를 클릭하면 사용자는 OS나 브라우저에 따라 또 다른 랜딩페이지로 이동 됩니다.

예를 들면, 윈도우에서 모질라 파이어폭스를 사용하는 피해자는 가짜 플래시 플레이어 업데이트 공지가 표시 되는 웹사이트로 이동되어, 애드웨어로 플래깅 된 윈도우 실행 파일을 다운로드하라는 메시지를 보게 됩니다.

<이미지 출처 : http://thehackernews.com/2017/08/facebook-virus-hacking.html>

구글 크롬 사용자들은 가짜 에러 메시지 팝업을 표시하는 유튜브로 위장한 웹사이트로 이동됩니다. 이로써 사용자들이 구글 웹스토어에서 악성 크롬 확장 프로그램을 다운로드 하도록 속입니다.

<이미지 출처 : http://thehackernews.com/2017/08/facebook-virus-hacking.html>

이 확장 프로그램은 사실 공격자가 원하는 파일을 피해자의 컴퓨터로 다운로드 하는 다운로더입니다.

애플의 Mac OS X 사파리 사용자들은 파이어폭스 사용자와 유사한 페이지로 이동 되지만, 이 페이지는 MacOS 사용자들을 위한 맞춤 버전의 플래시 미디어 플레이어 가짜 업데이트를 표시합니다. 이를 클릭할 경우 OSX 실행파일인 .dmg 파일인 애드웨어를 다운로드합니다.

리눅스의 경우에도 사용자는 리눅스 사용자들을 위해 디자인 된 또 다른 랜딩 페이지로 이동 됩니다.

이 캠페인의 배후에 있는 공격자들은 사용자를 뱅킹 악성코드나 익스플로잇 키트에 감염시키지는 않지만, 광고를 통해 수익을 올리기 위해 애드웨어를 설치합니다.

페이스북을 통해 유포되는 스팸 캠페인은 매우 흔합니다. 

수 년전에는 악성코드가 숨겨진 가짜 .jpg 이미지 파일을 배포해 Locky 랜섬웨어의 변종을 퍼뜨린 사례도 있습니다.

이러한 위협들로부터 안전하게 보호하기 위해서, 사용자들은 친구가 보낸 이미지나 비디오 링크일지라도 확인 없이 클릭하지 않으며, 안티 바이러스 소프트웨어를 최신 버전으로 유지해야 합니다.

출처 : 

http://thehackernews.com/2017/08/facebook-virus-hacking.html