최근 터키에서 해커들이 페이스북 사용자를 겨냥한 Delete 바이러스를 유포해 페이스북 담벼락을 통해 감염 피해를 확산 시키고 있다고 한다.
 
KISA는 <인터넷&시큐리티 위클리>를 통해 ‘터키에서 페이스북 사용자를 겨냥한 ‘Delete 바이러스’ 발생’이라는 간략한 보고서를 공개했다.
 
주요 내용은 기존 페이스북 사용자들에게 설문조사에 응답하게끔 유도하는 방법으로 악성코드 공격이 이루어졌지만, 최근에는 악성사이트 주소가 담긴 담벼락에 페이스북 사용자의 친구들을 태그하는 방법을 통해 공격이 이루어지고 있다는 것.

 
주요 취약점이 발생한 웹 브라우저는 파이어폭스와 크롬으로 악성사이트가 포함된 페이스북 담벼락은 사용자들이 담벼락의 링크를 클릭하면 악성사이트로 유포된다. 공격자들은 사용자들의 웹 브라우저를 구분해 가며 공격을 실행하고 있어 피해가 확산되고 있다.
 
파이어폭스 사용자인 경우, 파이어폭스가 실행되면 브라우저 창에 새로운 파이어폭스 플러그인 업데이트 설치 후 새로고침 버튼을 눌러달라는 메시지가 출력된다. 이를 사용자가 클릭하면 악성사이트와 구글 크롬 웹 스토어에서 악성파일과 크롬 애플리케이션을 각각 설치하게 된다.
 
파이어폭스에서 사용된 악성 XPI 파일에는 페이스북을 겨냥한 악성 자바 스크립트 코드가 있어 감염된 페이스북 사용자의 친구들에게도 담벼락 태그를 통해 악성 사이트로 유도할 수 있다.
 
구글 크롬을 브라우저로 사용하는 경우, 크롬이 실행되면 해커의 드롭박스 계정에 있는 악성파일(player.exe)이 사용자 몰래 다운로드 되며 브라우저는 비디오 페이지로 이동한다.
 
사용자들의 눈을 속이기 위해 악성파일을 다운로드한 후에도 동영상 재생 플레이어가 없다는 메시지와 초록색 화살표를 통해 새로운 다운로드 창을 알린다.
 
사용자가 player.exe 파일을 다운로드 하게 되면 player.exe 파일을 통해 다른 악성코드가 실행된다.
 
악성코드에 감염된 사용자가 페이스북에 로그인을 하게 되면 악성코드는 백그라운드에서 자바 스크립트를 실행해 다른 사용자들에게도 감염시키는 구조다.
 
KISA 관계자는 “터키의 페이스북 사용자들을 겨냥해 시작된 악성코드지만 악성코드로 인한 피해가 단순히 터키 사용자들에게만 국한되는 것은 아니므로 타 국가 사용자들에게도 주의가 요구된다”며 “추가적인 피해 예방을 위해 페이스북 담벼락에 있는 의심스러운 URL에 대해서는 신중한 접근이 필요하다”고 주의를 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com