제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

페이스북 이용자 지인에게 동영상 사칭 악성코드 유포

페이지 정보

작성자 최고관리자 작성일18-04-14 18:43 댓글0건

본문

최근 페이스북 메신저를 통해 동영상을 사칭한 악성코드가 전파되고 있어 이용자들의 주의가 요구된다. 공격자는 이용자의 프로필을 이용해 이용자 지인에게 메신저로 동영상 링크를 전송하는데, 이용자 지인이 이를 클릭하면 악성프로그램이 설치돼 악성코드에 감염된다.

 

위협정보를 공유 및 서비스하는 제로서트는 지난 9일부터 “페이스북 메신저를 통해 동영상 링크를 가장한 형태의 악성코드 전파가 탐지됐다”며 “공격자는 피해자 페이스북 계정을 이용해 친구 추가된 지인들에서 동영상 링크를 보내며, 지인의 프로필 썸네일 이미지를 사용한 동영상 링크를 전파해 클릭을 유도하고 있다”며 주의를 당부했다.

 

이용자가 링크를 클릭하면 악성코드 제작자가 만든 크롬 확장 프로그램이 피해자 PC 크롬 브라우저에 설치돼 PC의 악성코드 감염으로 이어진다.

 

해당 동영상 링크는 구글 API(commondatastorage.googleapis.com) 정상 링크를 이용하고 있으며 Time2do라는 가짜 크롬 확장프로그램 설치를 유도해 페이스북 지인에게 동영상 링크를 전파하거나 계정정보를 탈취하는 등 추가 악성 행위가 이어질 수 있다.


특히, 크롬 확장프로그램 설치뿐만 아니라 자바스크립트 기반 채굴 프로그램인 코인하이브 마이너로도 연결해 모네로까지 채굴하는 행위도 확인되고 있는 것으로 분석됐다.

 

따라서 이용자는 출처가 불분명한 링크 클릭에 주의해야 한다. 한 기업의 보안팀 담당자는 “불분명한 사용자들의 메시지는 링크 클릭을 주의하고, 크롬 익스텐션 프로그램을 이용한다는 새로운 기법인 만큼 각별히 신경써야 한다”고 당부했다.

 

구글 크롬 익스텐션(Google Chrome Extension)은 크롬 브라우저에서 사용할 수 있는 확장 프로그램으로 HTML/JS/CSS 등의 웹언어를 기반으로 제작한다. 일반 유저들도 제작해 크롬 웹스토어를 통해 업로드할수도 있어 다른 유저가 만든 걸 웹스토어에서 받아 사용이 가능하다. 이번 악성코드의 경우가 바로 이러한 점을 악용한 것이다.

 

보안업체 관계자 역시 링크 클릭 주의를 당부하며 “페이스북 등의 소셜 미디어를 이용해 전파되는 악성코드가 계속 등장하고 있다”며 “간단한 클릭만으로도 피해가 발생할 수 있으므로 링크나 첨부파일은 한번 더 확인해야 한다”고 강조했다.

 

또 다른 보안전문가도 “최근 크롬 확장 프로그램 말고도 크립토재킹(Cryptojacking)과 같이 웹사이트에 자바스크립트 마이너를 삽입해 채굴하는 행위 또한 발견되고 있어 해당 사이트에 접속하기만 해도 접속자의 컴퓨터가 채굴에 이용될 수 있기에 주의가 필요하다”며 “이런 문제를 해결하기 위해 크롬 확장 프로그램 중 채굴 사이트에 접속하지 못하도록 하는 확장 프로그램을 이용하거나 오페라의 경우 No Coin이라는 확장 기능을 제공하므로 이를 설치, 이용해야 자바스크립트를 이용한 채굴을 막을 수 있다”고 설명했다.

 

또한, 크롬 확장 프로그램은 반드시 공인된 크롬 웹스토어(https://chrome.google.com/webstore/category/extensions)에서만 다운로드 받아 설치해야 한다고 덧붙였다.