2024-03-28 23:55 (목)
가상화폐 채굴 악성코드 'FacexWorm' 확산, 페이스북 동영상 링크 주의
상태바
가상화폐 채굴 악성코드 'FacexWorm' 확산, 페이스북 동영상 링크 주의
  • 길민권 기자
  • 승인 2018.05.04 11:57
이 기사를 공유합니다

이 악성코드는 독일, 튀니지, 일본, 대만, 한국 및 스페인 등에서 주로 발견돼

facebook-3021068_640.jpg
페이스북 메신저를 통해 전달되는 비디오 링크에 대한 각별한 주의가 요구된다. 이유는 신종 가상화폐 채굴 악성코드 'FacexWorm'이 숨겨져 있기 때문이다. 특히 이 악성코드는 독일, 튀니지, 일본, 대만, 한국 및 스페인에서 발견되어 한국의 페이스북 사용자들은 특히 주의해야 한다.

'FacexWorm' 불리는 이 악성코드가 이달 초 새로운 악성 기능들을 추가해 리패키징 된 것을 발견했다고 밝혔다.

신규 기능들은 △구글과 가상화폐 관련 웹사이트의 계정 크리덴셜을 훔치고 △피해자들을 가상화폐 관련 사기를 시도하며 △웹 페이지에 가상 화폐 마이닝을 위한 채굴기를 주입하고 △가상 화폐와 관련 된 공격자의 추천 링크로 피해자들을 이동시켜 이익을 취하는 등이다.

FacexWorm은 사회 공학적 기법으로 만들어진 링크를 페이스북 메신저를 통해 감염 된 페이스북 사용자의 친구들에게 보내 피해자들을 유튜브와 같은 인기있는 비디오 스트리밍 웹사이트를 모방한 가짜 사이트로 이동시킨다.

FacexWorm 확장 프로그램은 크롬 사용자만을 공격하도록 설계 되었다. 만약 피해자가 다른 브라우저를 사용하는 것을 탐지했다면, 이 악성코드는 사용자를 안전해 보이는 광고 페이지로 이동시킨다.

악성 비디오 링크가 크롬 브라우저에서 오픈되었을 경우, FacexWorm은 사용자를 가짜 유튜브 페이지로 이동시킨다. 이 페이지는 사용자에게 영상을 재생하려면 코덱 확장 프로그램을 다운로드 하라고 속여 악성 크롬 확장 프로그램을 다운로드하도록 유도한다.

FacexWorm 크롬 확장 프로그램이 설치 되면, 다양한 악성 행위를 위해 C&C 서버에서 추가 모듈을 다운로드 한다.

연구원들에 따르면 “FacexWorm은 일반적인 크롬 확장 프로그램의 복제본이지만, 메인 루틴을 포함한 짧은 코드로 주입된다. 이는 브라우저가 오픈 되면 C&C 서버로부터 추가 자바스크립트 코드를 다운로드한다"며 "피해자가 새로운 웹 페이지를 열 때 마다, FacexWorm은 C&C 서버에 쿼리를 보내 깃헙(Github)에서 호스팅하는 또 다른 자바스크립트 코드를 찾아서 받아와 해당 웹페이지에서 동작을 실행한다"고 설명한다.

확장 프로그램은 설치 시 확장 된 권한을 모두 사용해 악성코드는 사용자가 오픈하는 모든 웹사이트의 데이터에 접근하거나 수정할 수 있게 된다.

사용자의 코인을 훔치기 위해 사용자가 가상화폐 거래 플랫폼 52개 중 한 곳에 방문하거나 URL에 "blockchain," "eth-," "ethereum"과 같은 키워드를 입력하는 것을 탐지해 가상화폐 사기 웹페이지로 이동시킨다. 타깃 플랫폼은 Poloniex, HitBTC, Bitfinex, Ethfinex, Binance 이며 지갑은 Blockchain.info 등이다.

탐지나 삭제를 피하기 위해 사용자가 크롬 확장프로그램 관리 페이지를 여는 것이 탐지 될 경우 오픈 된 탭을 즉시 닫는다.

또 공격자는 피해자가 Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in, HashFlare에 가입할 경우 추천 인센티브를 받는다.

보안 연구원들은 FacexWorm이 4월 19일까지 최소 하나 이상의 비트코인 거래를 가로챈 것을 발견했지만 악성 웹 마이닝을 통해서 얼마나 벌어 들였는지는 알 수 없었다고 전했다.

FacexWorm이 노리는 가상화폐는 비트코인(BTC), 비트코인골드 (BTG), 비트코인캐시 (BCH), 대시 (DASH), 이더리움(ETH), 이더리움클래식 (ETC), 리플 (XRP), 라이트코인(LTC), 지캐시(ZEC), 모네로 (XMR) 등이다.

페이스북 스팸 캠페인은 자주 발생하는 공격으로 사용자들은 소셜 미디어 사이트 플랫폼에서 링크를 클릭할 때 주의를 기울여야 할 것이다.(정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★