2024-03-29 17:00 (금)
스카이프 사용자, 악성광고 통해 랜섬웨어 감염될 수 있어…주의
상태바
스카이프 사용자, 악성광고 통해 랜섬웨어 감염될 수 있어…주의
  • 페소아 기자
  • 승인 2017.04.05 04:45
이 기사를 공유합니다

가짜 플래쉬 광고, 윈도우 머신 타깃으로 설계…다운로드 후 악성 자바스크립트 실행

encryption-5.jpg
마이크로소프트의 스카이프 앱을 통해 제공되는 광고를 통해 악의적인 다운로드가 서비스되고 있다는 것이 밝혀졌다. 이 문제는 지난 수요일 레딧(Reddit)의 쓰레드에서 스카이프의 홈스크린(소프트웨어에서 처음 나타나는 화면)을 통해 플래쉬 웹플러그인의 중요 업데이트를 가장한 가짜 악의적인 광고를 보여준다는 내용이 기재되면서 알려졌다.

해당 쓰레드에 따르면 광고는 합법적인 앱처럼 보이게 고안된 HTML 애플리케이션을 다운로드하게 했다. 이 앱을 열면 악의적인 페이로드가 다운로드되어 사용자의 컴퓨터가 잠기고 파일들이 암호화된다.

지난 며칠 동안 많은 사용자가 스카이프의 인-앱 광고와 유사한 문제에 대해서 토로했으며, 적어도 두 명의 다른 사람이 같은 악성 플래쉬 광고를 본 것으로 보인다. 이것이 악의적인 것이라는 것을 아는 사용자는 앱을 실행하는 대신 분석해 코드를 게시했다.

가짜 플래쉬 광고는 윈도우 머신을 타깃으로 설계되었고, 다운로드 후 열게되면 악성 자바스크립트가 실행된다. 이 코드는 새로운 명령라인을 시작하고, 사용자가 열었던 어플래케이션을 삭제하고 파웨쉘 명령을 실행한다. 파워쉘 명령은 JES(JavaScript Encoded Script)를 다운로드한다. 그리고 이 모든 단계는 차례대로 안티바이러스 백신에 의해 멀웨어가 탐지되는 것을 방지한다.

Phobos Group 공동설립자인 Ali-Reza Anghaie는 “이것은 일반적으로 2단계 드로퍼로 불리는 것으로, 사실상 악성코드의 유틸리티 구성요소이며, 연결된 C&C를 기반으로 행동을 결정한다”고 설명했다.

그러나 JSE가 다운로드되는 도메인이 현재는 사라져서 정확하게 어떤 동작을 하는지는 파악할 수 없다. 이에 대해 Anghaie는 “이런 경우 랜섬웨어일 확률이 99%다”라고 덧붙였다.

이와 유사한 멀웨어 샘플이 위협정보공유 사이트IBM의 X-Force에 업로드 되기도 했다. 페이로드가 다른 일회용 도메인에서 다운로드 되긴 했지만 멀웨어는 이 공격에 사용된 웹주소 패턴과 일치한 것으로 나타났다.

한편 가짜 플래쉬 광고의 모든 신호들이 최근 Kovter트로얀을 전달하는 Locky랜섬웨어의 변형임을 보여주고 있다. 작년에 가장 유명한 악성코드 중 하나였던 Locky 랜섬웨어는 JavaScript기반 공격을 사용하여 다른 응용프로그램의 도움없이 윈도우에서 직접 실행되어 컴퓨터를 잠글 수 있다.

마이크로소프트 측은 스카이프의 악성광고 공격에 대해 “사회공학적 공격”이라고 설명하며“우리는 해당 공격이 일부 고객을 악의적인 웹사이트로 안내하는데 사용되는 사회공학 기법을 사용한 것으로 알고 있다. 알려지지 않은 소스와 첨부파일, 링크를 열 때는 주의를 기울이고 바이러스 백신 소프트웨어을 설치 및 정기적 업데이트를 해야 한다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★