상세 컨텐츠

본문 제목

VSDC 영상 편집 소프트웨어 웹사이트 해킹으로 뱅킹 트로이목마 배포해

국내외 보안동향

by 알약(Alyac) 2019. 4. 12. 11:01

본문

Popular Video Editing Software Website Hacked to Spread Banking Trojan


매월 130만 명 이상이 사용하는 인기 있는 무료 영상 편집 및 변환 프로그램인 VSDC 공식 웹사이트가 작년에 이어 또다시 해킹되었습니다.


올해 2월 말부터 3월 말 사이에 VSDC 멀티미디어 편집 소프트웨어를 다운로드했을 경우, 뱅킹 트로이목마 및 데이터 스틸러에 감염되었을 가능성이 높은 것으로 나타났습니다.


Dr.Web이 공개한 보고서에 따르면, 해커들은 VSDC 웹사이트를 해킹하고 소프트웨어 다운로드 링크를 악성코드를 다운로드하도록 바꿔치기했습니다.


악성코드는 VSDC 소프트웨어를 설치하러 방문한 사용자들을 Win32.Bolik.2 뱅킹 트로이목마 및 KPOT 스틸러를 다운로드하도록 속였습니다.


VSDC는 영상 편집자들 사이에 매우 유명한 프로그램이지만, 웹사이트는 안전하지 않은 HTTP 연결을 통해 소프트웨어 다운로드를 제공했습니다.


해커들이 어떻게 웹사이트에 침입할 수 있었는지는 확실하지 않지만, 연구원들은 작년과는 다르게 이번 사건은 모든 사용자들을 감염시키려는 의도는 없는 것으로 추측했습니다.


그 이유는 VSDC 웹사이트에 방문자의 위치를 확인하고 영국, 미국, 캐나다 및 호주 지역인 경우에만 링크를 바꿔치기하는 악성 JavaScript 코드가 심어져 있었기 때문입니다.


안전하지 않은 VSDC 웹사이트, 한 달 동안이나 악성코드 배포해


이 악성코드는 VSDC 개발자 측에 제보되기 전까지 거의 한 달 동안(2019년 2월 21일부터 3월 23일까지) 발견되지 않았습니다. 


<이미지 출처: https://thehackernews.com/2019/04/free-video-editing-malware.html>


해당 기간 동안 타깃 사용자들은 웹 인젝션, 트래픽 인터셉트, 키로깅 등으로 은행 클라이언트 시스템에서 정보를 탈취하는 뱅킹 트로이목마에 감염되었습니다.


게다가 공격자는 지난 3월 22일 Win32.Bolik.2 트로이목마를 Trojan.PWS.Stealer의 변종인 KPOT 스틸러로 변경했습니다. 


KPOT 스틸러는 웹 브라우저, 마이크로소프트 계정, 메신저 서비스 및 기타 프로그램으로부터 정보를 탈취합니다.


조사에 의하면, 뱅킹 트로이목마에 감염된 소프트웨어를 다운로드한 방문자는 최소 565명이며, 데이터 스틸러에 감염된 사용자는 83명입니다.


VSDC 사이트는 과거에도 여러 번 해킹되었습니다. 


작년에는 익명의 해커들이 웹사이트 관리자 권한을 탈취해 다운로드 링크를 바꿔치기했고, 방문자의 컴퓨터를 AZORult 스틸러, X-Key 키로거 및 DarkVNC 백도어에 감염시켰습니다.


피해를 입었을 경우 어떻게 해야 하나요?


악성 패키지를 감염되지 않은 버전으로 업데이트하는 것으로는 악성코드가 제거되지 않습니다.


해당 기간에 소프트웨어를 다운로드했을 경우, 즉시 최신 백신 소프트웨어를 통해 검사해야 합니다.


또한, 백신으로 감염된 기기를 치료했더라도 다른 기기를 통해 소셜 미디어 또는 은행 웹사이트의 비밀번호를 변경할 것을 권장합니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Bolik, Trojan.Agent.Dynamer, Trojan.Agent.Tiggre으로 탐지 중에 있습니다.




출처:

https://news.drweb.com/show/?i=13242

https://thehackernews.com/2019/04/free-video-editing-malware.html

https://github.com/DoctorWebLtd/malware-iocs/tree/master/VSDC

관련글 더보기

댓글 영역