포스팅 내용

국내외 보안동향

음란 사이트 홍보로 위장된 게시글, 국내 게임 커뮤니티 이용자를 위협하다

음란 사이트 홍보로 위장된 게시글, 국내 게임 커뮤니티 이용자를 위협하다


최근 국내 게임 커뮤니티 및 사이트 게시판에서 음란 사이트 홍보글로 위장된 게시물로 악성코드를 유포하려는 정황이 포착되었습니다. 게임 이용자들의 각별한 주의가 필요합니다. 


공격자는 국내 유명 게임 커뮤니티 및 공식 홈페이지의 게시판에 다양한 성인물을 볼 수 있다는 홍보와 음란 사이트로 위장된 링크가 포함된 게시물을 작성하였습니다. 현재 관련 게시물은 삭제된 상태입니다. 


[그림 1] 커뮤니티에 올라온 음란 사이트 홍보 게시물


만일 사용자가 호기심에 게시물에 표기된 주소로 접속할 경우, 음란 사이트 인증 화면과 함께 취약점이 포함된 스크립트가 은밀히 실행됩니다. 

 

[그림 2] 성인 사이트로 위장한 화면


마치 성인 유해가능 사이트 로그인 화면처럼 교묘하게 위장된 웹 페이지에는 내부적으로 악성 스크립트가 포함되어 있습니다. 사용자가 허위 로그인 절차를 거치면 실제 정상적인 성인 유해가능 사이트로 이동시켜 이용자를 현혹합니다.


[그림 3] 은밀하게 삽입된 악성 스크립트


발견된 취약점 공격은 2014년도에 발견된 취약점이며, 이미 오래 전에 보안 패치가 공개된 상태입니다. 그러나 평소에 윈도우 업데이트 등에 무관심한 이용자인 경우, 이에 감염될 가능성이 높습니다.


[그림 4] 감염에 사용되는 악성파일들


만일 감염이 이루어질 경우, 홍콩 소재의 특정 서버로부터 원격제어 기능을 수행하는 모듈을 다운로드받고 한국에 위치한 공격자의 명령 제어 서버(C&C)로 연결합니다.


[그림 5] C&C 연결 시도


설상가상으로 C&C에 정상적으로 접속이 이루어졌을 경우, 공격자의 의도에 따라 개인 정보 유출 등의 다양한 악의적인 행위가 수행될 수 있는 만큼 각별한 주의가 필요합니다.


관련해서 2016년 6월 초, 공격자가 국내 유명 게임 BJ의 실시간 방송으로 위장하여 악성코드를 유포한 사례가 있었습니다. 이번 공격은 일회성 공격이 아닌 과거부터 지속적으로 시도된 것이며, 공격자는 앞으로도 다양한 형태로 공격할 가능성이 높다는 점을 시사합니다.


[그림 6] 게임 방송으로 위장


따라서 악성코드에 감염되지 않기 위해서는 출처가 불분명한 링크 혹은 사이트에 접속하지 않아야 합니다. 또한 윈도우 보안 업데이트를 포함한 각종 애플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.


통합 백신 ‘알약’에서는 관련 악성코드를 ‘Trojan.Downloader.72192’로 진단하고 있습니다.







티스토리 방명록 작성
name password homepage