본문 바로가기

security/보안 뉴스

[Sophos]"미트 롬니 대통령 유력" - 블랙홀 맬웨어 공격으로 이끄는 허위 CNN 경보


어제 대략 오후1시경에, 소포스랩에서는 다가오는 미국 대통령 선거에 관심 있는 이들을 타깃으로 하는 첫 번째 악성 이메일을 받았습니다.

그것은 2008년 대선 당시에 봤던 악성 활동의 급증을 감안하면 그렇게 놀라운 것은 아닙니다. 아마도 그 유혹이 아주 잘 작용되어, 심지어 오바마 대통령이 당선된 이후에도 수개월간 계속 되었습니다.

이번 스팸 캠페인에 대한 제목줄에는 “CNN 속보 - 미트 롬니(Mitt Romney) 대통령 유력”이라고 적혀있습니다.

열어보면 그것은 제일 먼저 “투표자의 60% 이상이 미트 롬니 지지”라는 것을 포함하여 오늘의 주요 이야기가 나오는 CNN 뉴스처럼 보입니다.


좀 더 큰 이미지를 보시려면 상단 이미지를 클릭하세요.

비록 대통령 선거가 여러분 취향이 아니라서, 이 이메일에서 홍보하는 감질나는 다른 모든 이야기들을 선택하더라도 모두 동일한 컨텐트로 연결됩니다. 그렇지만, 모두 CNN.com의 컨텐트는 아닙니다.

모든 링크들은 표준 블랙홀 익스플로잇 킷 형식을 따릅니다. 이메일에 있는 링크는 여러분을 공격자들에 의해 컨트롤되는 다른 사이트에서 발견되었던 몇몇 불쾌한 JavaScript로 향하게 하는 페이지로 이르게 합니다.

내가 서핑했던 컴퓨터는 현재 블랙홀에서 배포된 어떠한 익스플로잇에도 취약하지 않아서, 내가 내 스스로 감염시키도록 하기 위한 사회 공학(social engineering)에 의존하였습니다.

나는 실제 Adobe Flash Player 다운로드 페이지와 동일하게 보이는 페이지를 받았습니다. 미국 메릴랜드에 있는 가상 개인 서버에서 호스팅되었던 것은 제외하고 말이죠.

그것은 클릭할 필요 없이 다운로드를 진행했습니다.

update_flash_player.exe
SHA1: 875e224c014b2f2ebe9841944becc5dd0e774f61

나는 이런 기능이 블랙홀 2.0에서 새롭다고 확실히 말할 수는 없지만, 이런 행동을 이전 버전의 블랙홀에서는 보지 못했습니다.

이것은 Java와 Flash와 같은 플러그인이 실행되지 않도록 하는 Windows 8과 인터넷 익스플로러의 최신 UI 버전 출시에 대한 준비일 수 있었습니다.

왜 사용자들이 감염되지 않도록 사전동의를 구하지 않는 거죠?

만약 여러분이 허위 업데이트를 실행한다면 더 많은 악성 실행파일을 다운로드하는 많은 사이트로 연결을 시도합니다. 제 경우에는 다음과 같은 파일을 다운로드 하였습니다.

e1Vemf.exe
SHA1: ba90b002f5dd5dbd640cf39e9646d614e5f2ea83

스캐머들은 뉴스 토픽에서 충분히 공통적인 관심이 있을 때는 사람들을 속일 기회를 절대 놓치지 않습니다.

그것이 이메일, 트위터, 페이스북 그리고 다른 푸시 기술을 통해 여러분에게 다가가는 뉴스처럼 보일지도 모르지만, 그것은 종종 또 다른 스캠입니다.