2019-12-10 22:23 (화)
가짜 시만텍 블로그 만들어 악성코드 유포중…패스워드 탈취목적
상태바
가짜 시만텍 블로그 만들어 악성코드 유포중…패스워드 탈취목적
  • 페소아 기자
  • 승인 2017.11.30 01:02
이 기사를 공유합니다

aaaa-9.jpg
지난 주 @noarfromspace라는 보안연구원은 가짜 시만텍 블로그에서 OSX.Proton 패스워드 스틸러 변종이 퍼지고 있는 것을 발견했다.

11월 20일 멀웨어바이트스(Malwarebytes) 블로그 게시물에 따르면 이 멀웨어는 2017년 3월에 처음 나타나 손상된 Handbrake어플리케이션과 Ellmedia 소프트웨어를 통해 유포되어 왔었다.

이번 유포에 사용된 블로그는 언뜻 보기에는 도메인 등록 정보가 실제 시만텍 사이트와 동일한 이름과 주소를 사용하기때문에 정상적인 것으로 보이지만, 도메인을 등록하는데 사용된 메일주소는 합법적인 SSL 인증서 시만텍 자체 기관이 아닌 Comodo가 발행한 것이다. 위조된 사이트는 시만텍 사이트를 모방하고 동일한 컨텐츠를 가지고 있었다. 가짜 포스트를 통해 실제로는 존재하지 않는 멀웨어를 탐지하고 제거하는 Symantec Malware Detector라는 프로그램을 홍보해 사용자가 다운로드하도록 하고 있다.

또한 해당 게시물은 합법적인 것으로 보이는 트위터 계정을 통해 많은 트윗으로 퍼져나갔다. 연구원은 악성코드가 암호를 훔치도록 설계되었기 때문에 이 트위터 계정은 멀웨어를 통해 유출된 암호로 액세스한 계정일 가능성이 높다고 판단하고 있다.

"Symantec Malware Detector"는 실제로는 OSX.Proton 멀웨어로 사용자의 관리자 비밀번호, 키체인 파일, 브라우저 자동완성 데이터, 1Password볼트 및 GPG 암호를 훔쳐낸다. 사용자가 허위 어플리케이션을 실행하려고 하면 시만텍 로고를 사용하여 매우 간단한 창이 표시된다. 사용자에게 '확인' 버튼을 클릭하라는 메시지가 표시되고 관리자 암호를 입력하라는 메시지가 표시된다. 만약 패스워드가 입력되면 멀웨어가 설치된다. 사용자가 '확인'을 클릭하라는 메시지 화면에서 응용프로그램을 종료하는 경우 아무 것도 설치되지 않겠지만, 사용자들이 그러한 확신이 없기때문에 보통은 설치하게 된다고 연구원은 지적했다.

연구원은 사용자가 적절한 응용프로그램을 다운로드했는지 여부를 확신할 수 없다면, 코드 서명을 확인하여 팀식별자가 E224M7K47W인 인증서를 사용하여 Sverre Huseby라는 사람이 서명했는지 확인해야한다고 설명했다. 이 인증서가 있는 경우에는 악성코드로 간주해야한다.

악성코드는 바이러스 백신 솔루션을 사용하여 삭제할 수 있지만 감염을 확인했다면 사용자는 자격증명이 이미 손상당한 것으로 간주하고 온라인 암호를 모두 변경하는 등 긴급 조치를 시행해야한다.

시만텍 대변인은 “symantecblog.com과 symanteceurengine.com은 합법적인 시만텍 제품이 아니다. 두 사이트를 제거하기 위해 즉각적인 조치를 취했으며 현재 symantecblog.com이 삭제되었다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★