새로운 가상화폐 채굴 악성코드, 페이스북 통해 배포 돼

A New Cryptocurrency Mining Virus is Spreading Through Facebook

페이스북 메신저를 통해 친구를 포함한 누군가로부터 비디오 링크를 받는다면, 재미있어 보이더라도 클릭하지 말아야겠습니다.

보안연구원들이 페이스북 메신저를 통해 배포되는 악성 크롬 확장 프로그램에 대해 경고했습니다. 이는 가상화폐 거래 플랫폼을 이용하는 사용자들의 계정 정보를 훔치려 시도합니다.

FacexWorm이라 명명 된 공격 기법은 작년 8월 처음으로 등장한 악성 확장 프로그램이 악용하는 것으로 나타났으며, 연구원들은 이 악성코드가 이달 초 새로운 악성 기능들을 추가해 리패키징 된 것을 발견했습니다.

새로이 추가 된 기능들은 구글과 가상화폐 관련 웹사이트의 계정 크리덴셜을 훔치고, 피해자들을 가상화폐 관련 사기를 시도하며, 웹 페이지에 가상 화폐 마이닝을 위한 채굴기를 주입하고, 가상 화폐와 관련 된 공격자의 추천 링크로 피해자들을 이동시켜 이익을 취합니다.

페이스북 메신저를 이용해 자기 자신을 웜처럼 확산시키는 악성코드는 이 것이 처음은 아닙니다.

FacexWorm은 사회 공학적 기법으로 만들어진 링크를 페이스북 메신저를 통해 감염 된 페이스북 사용자의 친구들에게 보내 피해자들을 유튜브와 같은 인기있는 비디오 스트리밍 웹사이트를 모방한 가짜 사이트로 이동시킵니다.

FacexWorm 확장 프로그램은 크롬 사용자만을 공격하도록 설계 되었습니다. 만약 피해자가 다른 브라우저를 사용하는 것을 탐지했다면, 이 악성코드는 사용자를 무해해보이는 광고 페이지로 이동 시킵니다.

<이미지 출처 : https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/>

FacexWorm 악성코드가 동작하는 방식

악성 비디오 링크가 크롬 브라우저에서 오픈되었을 경우, FacexWorm은 사용자를 가짜 유튜브 페이지로 이동시킵니다. 이 페이지는 사용자에게 영상을 재생하려면 코덱 확장 프로그램을 다운로드 하라고 속여 악성 크롬 확장 프로그램을 다운로드하도록 합니다.

FacexWorm 크롬 확장 프로그램이 설치 되면, 다양한 악성 행위를 위해 C&C 서버에서 추가 모듈을 다운로드 합니다.

“FacexWorm은 일반적인 크롬 확장 프로그램의 복제본이지만, 메인 루틴을 포함한 짧은 코드로 주입됩니다. 이는 브라우저가 오픈 되면 C&C 서버로부터 추가 JavaScript 코드를 다운로드합니다.”

“피해자가 새로운 웹 페이지를 열 때 마다, FacexWorm은 C&C 서버에 쿼리를 보내 Github에서 호스팅하는 또 다른 JavaScript 코드를 찾아서 받아와 해당 웹페이지에서 동작을 실행합니다.”

확장 프로그램은 설치 시 확장 된 권한을 모두 사용해, 악성 코드는 사용자가 오픈하는 모든 웹사이트의 데이터에 접근하거나 수정할 수 있게 됩니다.

아래에 FacexWorm이 수행할 수 있는 작업을 간단히 설명했습니다.

- 웜처럼 자기 자신을 확산시키기 위해, 이 악성코드는 피해자의 페이스북 계정을 위한 OAuth 접근 토큰을 요구해, 이를 이용하여 피해자의 친구 리스트를 자동으로 얻어 가짜 악성 유튜브 영상 링크를 보냅니다.

- 사용자의 구글, MyMonero, Coinhive 계정 크리덴셜을 훔칩니다. 이는 사용자가 타겟 웹사이트의 로그인 페이지를 열었을 때만 해당 됩니다.

- 피해자가 오픈한 웹페이지에 가상화폐 채굴기를 주입합니다. 이는 피해자의 컴퓨터의 CPU 전력을 공격자를 위한 가상화폐를 채굴하는데 사용합니다.

- 피해자가 입력한 지갑 주소를 공격자의 주소로 바꿔치기 해 사용자의 가상화폐 관련 거래를 가로채기 합니다.

- 사용자의 코인을 훔치기 위해, 사용자가 가상화폐 거래 플랫폼 52개 중 한 곳에 방문하거나 URL에 "blockchain," "eth-," "ethereum"과 같은 키워드를 입력하는 것을 탐지하여 가상화폐 사기 웹페이지로 이동시킵니다. 타겟 플랫폼은 Poloniex, HitBTC, Bitfinex, Ethfinex, Binance 이며 지갑은 Blockchain.info 등입니다.

- 탐지나 삭제를 피하기 위해, 사용자가 크롬 확장프로그램 관리 페이지를 여는 것이 탐지 될 경우 오픈 된 탭을 즉시 닫습니다.

- 또한 공격자는 피해자가 Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, HashFlare에 가입할 경우 추천 인센티브를 받습니다.

<이미지 출처 : https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/>

보안 연구원들은 FacexWorm이 4월 19일까지 최소 하나 이상의 비트코인 거래($2.49 상당)을 가로챈 것을 발견했으나, 악성 웹 마이닝을 통해서 얼마나 벌어 들였는지는 알 수 없었습니다.

FacexWorm이 노리는 가상화폐는 비트코인(BTC), 비트코인골드 (BTG), 비트코인캐시 (BCH), 대시 (DASH), 이더리움(ETH), 이더리움클래식 (ETC), 리플 (XRP), 라이트코인(LTC), 지캐시(ZEC), 모네로 (XMR)입니다.

FacexWorm 악성코드는 독일, 튀니지, 일본, 대만, 한국 및 스페인에서 발견되었습니다.

하지만 페이스북 메신저는 전 세계에서 사용되기 때문에, 이 악성코드가 전세계적으로 확산 될 확률이 높습니다.

크롬 웹 스토어는 보안 연구원들이 제보하기 전에도 많은 악성 확장프로그램을 삭제했지만, 공격자들은 여전히 스토어에 지속적으로 업로드하고 있습니다.

연구원들은 페이스북 메신저도 악성, 소셜 엔지니어링 기법을 사용한 링크를 탐지하며 영향을 받은 페이스북 계정의 전파 행위를 정기적으로 차단한다고도 밝혔습니다.

페이스북 스팸 캠페인은 꽤 흔한 일이므로, 사용자들은 소셜 미디어 사이트 플랫폼에서 링크를 클릭할 때 주의를 기울여야 할 것입니다.

출처 :

https://thehackernews.com/2018/05/facebook-cryptocurrency-hacking.html

https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/