포스팅 내용

국내외 보안동향

[해외보안동향] 페이스북에서 인스턴트 메시징 트로이목마 기승

‘Can I Post These Pictures on Facebook?’ Polite IM Trojan Asks

페이스북 인스턴트 메시징 트로이목마 기승... 1,300개 이상 시스템 감염



최근 등장한 인스턴트 메시징 트로이목마로 1,300개 이상의 시스템이 감염되었다고 비트디펜더가 경고했습니다. 해당 트로이목마는 사회공학적 기법과 성경 구절을 이용하여 암호화된 데이터를 숨깁니다. 비트디펜더는 미국, 영국, 독일, 캐나다, 프랑스, 덴마크, 일본과 루마니아 등지에서 지난 한 주 동안 감염이 증가한 것을 확인할 수 있었다고 밝혔습니다.


Gen:Variant.Downloader.167는 사용자들의 주소록에 접근 권한을 얻은 뒤, 페이스북 메시지나 야후 메신저를 통해 전파됩니다. 이 트로이목마는 성경 구절로 암호화된 데이터를 숨기는 특징을 갖고 있습니다. 그 후, 데이터는 수학적 프로세서를 거친 숫자들로 복호화됩니다.


“이 사진들을 페이스북에 게시하고 싶은데, 괜찮으세요?”

모든 것은 페이스북이나 야후 메신저를 통해 시스템이 감염된 사람들로부터 이와 같은 예의바른 요청메시지를 받으면서 시작됩니다. 메시지 하단의 URL은 사용자에게 좀 더 그럴듯하게 보이기 위해 파일이나 사진을 공유할 때 자주 쓰이는 Dropbox와 Fileswap 등 스토리지 서비스에 속해 있습니다.


해당 트로이목마는 컴퓨터에서 임의의 명칭과 “.exe” 확장자를 가진 폴더를 생성하며 실행됩니다. 또한 설치과정에서 다음과 같은 메시지 창을 띄웁니다.



“이 응용프로그램은 실행중인 윈도 버전과 호환되지 않습니다. x86(32-bit) 혹은 x64(64-bit)버전이 필요한 것인지, 컴퓨터 시스템 정보를 확인하여 소프트웨어 배포자와 상의하시기 바랍니다.”


Gen:Variant.Downloader.167 악성코드는 스스로 재시작되거나, 업데이트될 수 있습니다. 따라서 비트디펜더를 포함하여 바이러스토탈에 등록된 보안제품 중 절반 이하의 제품들은 이를 차단하고 있습니다.


2013년 5월에도 유사한 악성코드가 전세계 페이스북 사용자들을 감염시킨 적이 있습니다. Dorkbot 악성코드는 “jpg” 형식의 이미지를 널리 퍼뜨렸습니다. 그러나 이는 이미지로 위장한 실행파일로, 브라우저 상의 행동을 감시하고 개인정보를 탈취할 수 있습니다. 또 다른 스캠(scam)은 페이스북 친구의 나체사진을 볼 수 있다며 사용자들을 유인했으나, 실제로는 트로이목마를 떨어뜨리기도 했습니다.


해커들은 C&C 서버에 맞춰 쉽게 봇들을 조작하며, 사용자이름과 암호를 훔쳐 다른 악성코드를 다운로드 받도록 명령할 수도 있습니다.


위 내용은 비트디펜더 악성코드 분석가인 Cosmin TARSICHI, Octavian MINEA와 George CABAU의허가를 받은 기술정보를 기반으로 하고 있습니다. 언급된 모든 제품 및 회사명은 지칭목적으로만 사용되었으며, 재산권 및 상표권은 각각의 소유주에게 있습니다.




출처:

Hot for Security

http://www.hotforsecurity.com/blog/can-i-post-these-pictures-on-facebook-polite-im-trojan-asks-8993.html

* 해당 블로그 포스트는 공식적으로 인용 허가를 받았습니다.

티스토리 방명록 작성
name password homepage