상세 컨텐츠

본문 제목

[해외보안동향] 페이스북 악성코드(malware), 여전히 증가 중

국내외 보안동향

by 알약(Alyac) 2015. 2. 3. 15:10

본문

단 2일만에 110,000명의 페이스북 유저를 감염시킨 페이스북 악성코드(malware), 여전히 증가 중

Facebook Malware that infected more than 110K and still on the rise


페이스북을 통해 전파되는 악성코드가 단 2일만에 110,000명의 페이스북 사용자를 감염시키며 지속적으로 증가하고 있습니다. 해당 악성코드는 한 포스트에 20명의 사용자를 태깅하는 방식으로 전파되고 있습니다. 


이 트로이목마는 기존에 관찰되던 SNS 트로이목마와는 다른 특징을 가지고 있습니다. 이전의 트로이목마들은 사용자의 친구들에게 메시지를 보내 악성코드에 감염시키는 방식으로 전파되었습니다. 그러나 이번에 발견된 트로이목마는 감염된 사용자의 친구들을 게시물에 태깅하는 방식을 사용합니다.



사용자가 태깅된 게시물을 열면 포르노 비디오의 프리뷰를 보게 되며, 해당 비디오를 계속 보기 위해서는 가짜 플래시 플레이어의 업데이트가 요구됩니다. 여기서 이 가짜 플래시 플레이어는 악성코드의 다운로더입니다.


이 새로운 기술은 'Magnet(자석)' 이라고 불리며, 이미 감염된 사용자의 친구들을 악성 게시물에 태깅하여 더 많은 사용자에게 노출되고 있습니다. 이러한 방식으로 태깅된 친구의 친구들에게도 악성코드가 확산될 수 있어, 공격자는 자신의 악성코드를 더욱 빠르고 광범위하게 전파시킬 수 있습니다.


가짜 플래시파일(실행파일)의 MD5:

cdcc132fad2e819e7ab94e5e564e8968


가짜 플래시파일(실행파일)의 SHA1:

b836facdde6c866db5ad3f582c86a7f99db09784


가짜 플래시 파일이 실행되면 아래의 실행파일을 드랍합니다:

chromium.exe, wget.exe, arsiv.exe, verclsid.exe


해당 악성코드는 키보드와 마우스 동작을 가로챌 수 있게 합니다. 윈도우 프로세스에 Chromium.exe가 존재하면 해당PC가 페이스북 악성코드에 감염되었을 가능성이 높다는 표시입니다. (Indicatior of Compromise: IoC) 


또한 해당 악성코드는 실행된 후, 아래의 네트워크로 접속을 시도합니다 :

www.filmver.com, www.pornokan.com


이러한 유형의 악성코드 감염을 예방하기 위해서는 SNS상에 있는 악성 포르노 링크를 클릭하지 않아야 합니다. 현재 알약에서는 해당 악성코드를 Trojan.FbSpreader.577715로 탐지하고 있으며 변종이 추가로 발견되는 경우 신속하게 대응할 예정입니다.  


출처: 
  
관련기사:


관련글 더보기

댓글 영역