Home > 전체기사
‘보안 인증서가 만료되었다’는 메시지를 클릭하면 큰일
  |  입력 : 2020-03-06 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일부 웹사이트에 침투한 공격자들, 아이프레임 주입해 경고 메시지 노출
크기가 콘텐츠와 정확히 일치...업데이트 하라는 경고 무시하기 어려워


[보안뉴스 문가용 기자] 멀웨어를 퍼트리는 방법과 전략을 만들어 낸다는 점에 있어서 사이버 범죄자들은 꽤나 창의적인 부류들이다. 최근 일부 공격자들은 가짜 디지털 인증서 ‘업데이트’를 통해 사용자들의 시스템을 감염시키고 있다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다.

[이미지 = iclickart]


보안 업체 카스퍼스키는 이번 주 보고서를 통해 “특정 웹사이트들이 방문자에게 ‘보안을 위한 디지털 인증서가 만료되었으니 갱신해야 한다’는 메시지를 보여주며 업데이트 설치를 권장하고 있는 걸 발견했다”며 “여기에 응하는 사람은 결국 멀웨어를 다운로드 받게 된다”고 경고했다.

이 캠페인은 1월 중순부터 시작된 것으로 보이며, 동물원 한 곳과 자동차 부품 딜러 한 곳의 웹사이트가 연루되어 있다고 한다. 아직까지 공격자들이 해당 사이트들을 어떻게 침해했는지는 정확히 밝혀지지 않고 있다.

카스퍼스키는 “웹 보안 업데이트를 가장한 멀웨어 배포 시도는 처음 보는 일”이라고 말한다. 물론 비슷한 사례들이 없는 건 아니다. 가짜 소프트웨어 업데이트나 브라우저 업데이트, 어도비 플래시 플레이어 업데이트 등을 통한 멀웨어 설치 시도 등은 과거에도 있어 왔다.

“사람들은 이런 종류의 공격에 꽤나 취약합니다. 정상적인 사이트를 통해 메시지가 나타나고, 보안을 위해 업데이트 하라는 내용에 별 다른 수상한 점이 없기 때문입니다. 심지어 과거에 방문을 해봤던 사이트인 경우도 많죠.” 카스퍼스키의 멀웨어 분석가인 빅토리아 블라소바(Victoria Vlasova)의 설명이다.

이번 캠페인에서 공격자들은 정상적인 웹사이트에 침투해 아이프레임을 주입했다. 방문자들에게 나타낼 경고 메시지가 바로 이 아이프레임을 통해 나타난다. 내용은 위에 언급한 것처럼 보안 인증서 만료와 갱신에 관한 것이다. 이 아이프레임은 원래 사이트 콘텐츠와 똑같은 크기를 가지고 있어 메시지를 무시하고 계속해서 사이트를 탐색하기가 어렵다.

또한 아이프레임 내에 명시된 주소들은 실제 정상 웹사이트들의 주소들이다. 따라서 사용자들은 의심 없이 인증서를 설치하게 된다. 블라소바는 “사용자들은 온라인 상에서 뭔가를 다운로드 하도록 권유 받을 때 항상 조심해야 한다”고 경고한다. “사실은 불필요할 때가 많거든요. 정말로 신뢰할 만한 출처가 아니라면, 그리고 꼭 필요한 게 아니라면 늘 두세 번씩 확인을 해보세요.”

이 캠페인에서 공격자들이 퍼트리려고 하는 건 모크스(Mokes)와 부에락(Buerak)이라는 멀웨어다. 둘 다 이전부터 알려져 있던 멀웨어로, 모크스는 다른 멀웨어를 추가로 다운로드 하는 기능을 가진 백도어이며, 스모크 로더(Smoke Loader)라는 이름으로도 알려져 있다. 셸코드를 설치하는 데에도 활용될 수 있다.

부에락도 모크스와 비슷한데 주로 암호화폐 채굴 소프트웨어나 랜섬웨어를 추가로 설치하는 데 활용된다. 물론 다른 종류의 멀웨어와 연계되기도 한다.

보안 업체 베나피(Venafi)의 수석 보안 엔지니어인 프라틱 사블라(Pratik Savla)는 “일반인들에게도 보안 인증서라는 것이 점점 보편화되고 있기 때문에 이런 테마를 가진 피싱 공격이 증가하는 것”이라며 “앞으로 더 증가할 수밖에 없다”는 의견이다.

3줄 요약
1. 일부 웹사이트에 접속할 경우 ‘보안 인증서를 갱신하시오’라는 경고가 뜸.
2. 이를 클릭하면 모크스나 보에락이라는 멀웨어가 다운로드 됨.
3. 보안 인증서를 테마로 한 피싱 공격, 앞으로 증가할 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)