악성코드, 또다시 소셜미디어 사용자를 노리나?

최근 계정 탈취, 악성코드 유포 등 주요 소셜미디어와 관련된 보안 위협 사례가 또다시 빈번하게 나타나고 있다. 이러한 가운데 이번에는 게임 관련 계정을 사칭해 유명 소셜미디어를 통해 악성코드를 유포한 사례가 확인됐다. 게임 이용자뿐만 아니라 소셜미디어 사용자들의 주의가 필요하다. 

이번에 확인된 악성코드는 [그림 1]과 같이 트위터에서 모 인디 게임을 사칭한 계정을 이용해 작성한 게시물의 다운로드 링크를 통해 유포됐다. 

[그림 1] 게임 홍보 관련 내용으로 위장한 악성 게시글 

[그림 1]에서 볼 수 있는 것처럼 공격자는 “오픈 기념으로 30분 이상 플레이한 사용자에게 문화상품권을 지급한다”며 사용자들의 게임 다운로드 및 실행을 유도한다. 이에 현혹된 사용자가 게시글에 포함된 게임 다운로드 링크를 클릭하면 게임 파일로 위장한 악성 파일이 다운로드된다. 

[그림 2] 다운로드된 파일

[그림 2]는 다운로드된 압축 파일에 포함된 파일들로, 실제 게임의 아이콘 파일, 바로가기 파일, 악성 PE 파일이 포함되어 있다. 이들 중 바로가기 파일을 실행하면 [그림 3]과 같은 메시지가 나타남과 동시에 사용자 몰래 악성 파일이 활성화된다.

[그림 3] 게임 실행 불가 알림창

활성화된 악성 파일은 자기자신을 특정 경로에 자가 복제하고, 시스템 시작 시 자동으로 실행되도록 레지스트리에 등록한다. 이후 해당 파일은 특정 주소와의 통신을 시도하는데, 이를 통해 추가 악성 행위가 이루어질 수 있다.

수많은 사람들이 연결되어 있는 소셜미디어는 여전히 공격자에게 매력적인 플랫폼이다. 특히 포털 사이트나 커뮤니티사이트 못지 않게 소셜미디어를 통한 관심 분야 검색 및 공유가 빈번해짐에 따라 이번 사례에서 볼 수 있는 것처럼 사람들의 관심을 끄는 소재를 이용한 악성코드 유포 경로로 악용될 수 있다. 또 소셜미디어의 계정 정보를 탈취해 해당 계정의 지인들에게 악성 URL을 공유하거나 지인을 사칭해 금전을 요구하는 등의 2차 공격을 진행할 수 있다. 따라서 소셜미디어를 통해 공유된 URL에 접속하거나 파일을 다운로드할 경우 각별히 주의하는 습관이 필요하다.