PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
일반정보 페이스북 계정 정보 노리는 악성코드…왜?
작성자: 구피 조회 수: 139 PC모드
페이스북 계정 정보 노리는 악성코드…왜?
페이스북 정보를 탈취하는 악성코드가 발견됐다. 이번에 발견된 악성코드는 감염된 사용자 시스템의 브라우저 정보뿐만 아니라 페이스북 계정 정보까지 탈취하는 기능을 가지고 있다.
악성코드가 실행되면 [그림 1]와 같이 사용자를 속이기 위한 가짜 알림 창이 표시된다. 알림 창의메시지는 ‘설정 파일이 존재하지 않기 때문에 응용 프로그램을 다시 설치해야 한다’고 설명하고 있는데, 알림 창이 나타나 있는 동안 악성코드는 PC 내부에서 사용자 몰래 악성 행위를 계속 수행한다.
[그림 1] 사용자를 속이기 위한 가짜 알림 창
악성코드는 정상 프로세스인 svchost.exe(서비스를 관할하는 프로세스)를 일시 정지 상태로 만든후 해당 파일의 메모리 영역에 자신을 삽입하여 실행시킨 뒤 자가 삭제한다. 이로써 악성코드는 메모리 영역에만 남게 된다.
메모리에 로드된 악성코드는 분석을 회피하기 위해 특정 파라미터 값을 확인하여 조건이 일치하지 않는 경우 스스로 종료한다. 또한 %APPDATA% 경로에 특정 파일(.ini 파일)이 존재할 경우에도 종료되는데 이는 중복 실행 방지를 위한 것으로 추정된다.
특정 파라미터값의 조건이 일치한 경우 악성코드는 시스템에 설치되어 있는 웹 브라우저 데이터를 수집한다. 크롬, 파이어폭스, 인터넷익스플로러, 엣지 등 거의 모든 종류의 웹 브라우저 로컬 파일을 탐색한다.
웹 브라우저 정보 탐색이 끝나면 웹 브라우저 계정 데이터 파일을 수집하고 계정 정보 탈취를 시도한다. 악성코드는 시스템 기본 정보 및 웹 브라우저 계정 데이터를 수집하고, 특정 URL을 통해 시스템 IP 정보를 수집한 후 탈취한 정보를 공격자에게 C&C 서버로 전송한다.
탈취한 정보의 C&C 서버 전송과 더불어 추가적으로 악성코드는 감염 시스템의 페이스북 계정 정보 탈취하는 것이 특징이다. 이때 [그림 2]와 같이 시스템에 존재하는 페이스북 인증 쿠키를 통해 페이스북 세션을 맺는 방법을 이용한다.
[그림 2] 웹 브라우저 쿠키 파일 내 페이스북 관련 쿠키 검색
악성코드는 로컬 시스템에 있는 쿠키 파일로 페이스북에 접속한 뒤에 페이스북 Graph API를 이용하여 페이스북 계정 정보를 탈취한다.
한가지 특이한 점은 페이스북 광고 캠페인(Facebook advertisement campaigns)와 관련된 정보 탈취를 시도한다는 것으로, 이로 미루어 해당 악성코드는 페이스북 광고 사업자를 노리고 있는 것으로 추정된다.
한편, 공격자는 탈취한 페이스북 계정 정보를 이용해 해당 계정의 팔로워들에게 악성 URL을 공유하거나 지인을 사칭해 금전을 요구하는 등의 2차 공격을 진행할 수 있다. 특히 지인을 사칭한 악성 URL 또는 악성 게시물을 전달하는 경우, 사용자가 이를 파악하기는 쉽지 않다. 따라서 소셜미디어를 통해 공유된 URL에 접속할 때는 좀 더 주의하는 습관이 필요하다.
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
음 전 페북안해서 다행인것인가. 정보감솨~