posted by Kwan's 2013. 5. 3. 00:06


또 다시, 사이버범죄자들이 맬웨어를 퍼트리기 위해 최신 뉴스꺼리를 이용하는 기회를 재빠르게 포착하고 있습니다.

가장 최근의 예로, 맬웨어 제작자는 보스턴 마라톤 폭발사고에 대한 관심을 악용했던 바로 며칠 후에, 텍사스 주 서부의 작은 마을에 있는 비료공장에서의 치명적인 폭발에 관심을 가지게 되었습니다.

다음은 소포스랩에 의해 발견된 'CAUGHT ON CAMERA: 텍사스주 와코 인근의 비료공장 폭발(Fertilizer Plant Explosion Near Waco, Texas)'라는 제목의 악성 이메일 중의 하나의 예입니다.

다른 메시지들은 '생생한 뉴스: 텍사스 폭발 피해자 수십명(Raw: Texas Explosion Injures Dozens)'라는 제목을 사용한 것으로 보입니다.

그 이메일에 포함된 링크를 클릭하면 의심을 하지 않는 컴퓨터 사용자들은 임베디드된 유투브 비디오 시리즈가 포함된 웹페이지를 보게 됩니다.

전혀 해가 없을 거라고 생각할지 모르지만, 그 웹페이지는 640x360픽셀의 iFrame을 또 포함하고 있어서 여러분의 컴퓨터를 감염시키도록 설계된 또 다른 사이트로부터 악성 컨텐츠를 끌어드리려고 합니다.

그 공격은 맬웨어로 PC들을 감염시키기 위해서 방문한 PC들의 취약점을 이용하려고 레드킷(Redkit) 익스플로잇을 사용합니다.

레드킷 익스플로잇 키트는 그 키트를 작동시키기 위해 감염된 웹사이트에서 호스팅되는 PHP 쉘을 사용합니다.

맨 먼저, Redkit은 다음 번 감염된 서버로 1단계 리다이렉트를 보내고, 그 다음 PDF나 JAR(Java Acrhive) 익스플로잇을 전달하는 악성 컨텐트를 명령 및 제어 서버로부터 제공 받습니다.

그러한 공격에 대해 소포스 제품들은 감염된 악성 iFrames을 Troj/ExpJS-II 와 Troj/Iframe-JG로 감지합니다.

이번 맬웨어 공격의 배후에 있는 자가 누구든지 이번 주 초의 보스턴 폭발사고에 대한 새 소식으로 가장하는 데 이용한 맬웨어로 컴퓨터를 감염시키려고 했다는 것이 분명해 보입니다.

이번 공격 배후에 있는 범죄자들은 텍사스와 보스턴에서 사망한 무고한 사람들은 전혀 신경 쓰지 않습니다. 그들의 유일한 관심은 새로운 소식에 목말라하는 인터넷 사용자들의 컴퓨터를 악용함으로써 돈을 버는 것입니다.

악의적인 해커들의 생활을 편하게 해줘서는 안됩니다. 그리고 언제나 요청하지 않은 이메일에 의존하지 말고 최신 뉴스를 보기 위해서는 합법적인 뉴스제공 사이트를 이용하시기 바랍니다.

댓글을 달아 주세요