최근 보안연구원들은 페이스북 메신저에서 가짜 웹사이트로 이동되는 비디오 링크가 유포되고 있으며, 해당 링크를 클릭하면 악성 SW 설치를 유도하는 크로스 플랫폼 캠페인을 발견했다고 밝혔다.
이 악성코드가 어떻게 배포되는지 아직 확실히 밝혀지진 않았지만, 연구원들은 스패머들이 악성 링크를 배포하기 위해 해킹된 계정, 하이잭 된 브라우저 혹은 클릭재킹 기술을 사용하는 것으로 추측했다.
공격자들은 소셜 엔지니어링 기법을 사용해 사용자들이 비디오 링크를 클릭하도록 속인다.
이 URL은 보낸이의 이미지를 기반으로 한 동적 생성 된 비디오 썸네일을 표시하는 구글 문서로 이동시킨다. 이 이미지를 클릭하면 사용자는 OS나 브라우저에 따라 또 다른 랜딩페이지로 이동된다.
예를 들면, 윈도우에서 모질라 파이어폭스를 사용하는 피해자는 가짜 플래시 플레이어 업데이트 공지가 표시 되는 웹사이트로 이동되어, 애드웨어로 플래깅 된 윈도우 실행 파일을 다운로드하라는 메시지를 보게 된다.
구글 크롬 사용자들은 가짜 에러 메시지 팝업을 표시하는 유튜브로 위장한 웹사이트로 이동된다. 이로써 사용자들이 구글 웹스토어에서 악성 크롬 확장 프로그램을 다운로드 하도록 속인다.
이 확장 프로그램은 사실 공격자가 원하는 파일을 피해자의 컴퓨터로 다운로드하는 다운로더다.
애플의 Mac OS X 사파리 사용자들은 파이어폭스 사용자와 유사한 페이지로 이동 되지만, 이 페이지는 Mac OS 사용자들을 위한 맞춤 버전의 플래시 미디어 플레이어 가짜 업데이트를 표시한다. 이를 클릭할 경우 OSX 실행파일인 .dmg 파일인 애드웨어를 다운로드한다.
리눅스의 경우에도 사용자는 리눅스 사용자들을 위해 디자인 된 또 다른 랜딩 페이지로 이동된다.
이 캠페인의 배후에 있는 공격자들은 사용자를 뱅킹 악성코드나 익스플로잇 키트에 감염시키지는 않지만 광고를 통해 수익을 올리기 위해 애드웨어를 설치한다.
페이스북을 통해 유포되는 스팸 캠페인은 매우 흔한 일이다.
수 년전에는 악성코드가 숨겨진 가짜 .jpg 이미지 파일을 배포해 Locky 랜섬웨어의 변종을 퍼뜨린 사례도 있다.
이스트시큐리티 관계자는 “이러한 위협들로부터 안전하게 보호하기 위해 사용자들은 친구가 보낸 이미지나 비디오 링크일지라도 확인 없이 클릭하지 않으며 안티 바이러스 소프트웨어를 최신 버전으로 유지해야 한다”고 조언했다.
★정보보안 대표 미디어 데일리시큐!★
