Home > 전체기사
페이스북의 쿠키 상자를 향해 다가오는 음흉한 손 두 개
  |  입력 : 2020-03-13 15:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
쿠키 도둑...유지쳉이라는 멀웨어와 짝 해 쿠키를 빼돌리고 있어
페이스북 플랫폼에서의 스팸 캠페인이 목적인 듯...현재 1000명 정도 피해 입어


[보안뉴스 문가용 기자] 누가 페이스북의 과자 상자에서 쿠키를 훔쳤는가? 카스퍼스키(Kaspersky)의 보안 전문가들이 새롭게 발견된 안드로이드 멀웨어인 쿠키씨프(Cookiethief) 때문에 나오는 질문이다. 쿠키를 훔쳐내는 새로운 멀웨어 쿠키씨프가 최근 SNS 플랫폼에서 꽤나 빠르게 퍼져가고 있다고 한다.

[이미지 = iclickart]


원래 카스퍼스키의 전문가들이 찾아낸 건 두 개의 안드로이드 멀웨어였다. 공격 대상이 되는 장비의 브라우저나 페이스북 앱에서 쿠키를 전송하는 것 하나, 프록시 서버를 돌리는 것 하나였다. 아직 표적이 되는 장비에 어떤 방식으로 멀웨어가 올라타는지는 밝혀지지 않았지만, 페이스북 앱이나 브라우저의 취약점을 통해서는 아니라고 한다.

웹사이트 운영자들이 쿠키를 사용하는 가장 큰 목적은 ‘편의성’이다. 쿠키를 저장해두면 사용자가 여러 번 접속해도 두 번, 세 번 로그인할 필요 없이 같은 서비스를 계속해서 사용할 수 있다. 이른 바 ‘사용성’ 혹은 ‘사용자 경험’이 향상되는 것이다. 하지만 전혀 엉뚱한 자가 쿠키를 추출할 경우, 해당 사용자인 것처럼 위장할 수 있다는 단점도 가지고 있다고 카스퍼스키의 안톤 키바(Anton Kivva)와 이고 골로빈(Igor Golovin)이 블로그를 통해 설명한다.

이번에 발견된 멀웨어의 제작자들 역시 그러한 목적으로 쿠키 탈취형 멀웨어를 만들어 사용했을 것으로 보인다. 위 두 가지 멀웨어는 코드도 비슷하고 같은 C&C 서버와 연결되어 있었기 때문에 배후 세력도 같을 거라는 게 쉽게 추측 가능했다고 한다. “둘을 함께 사용해 공격하면 페이스북에 탐지되지 않고서 계정을 탈취하고, 악성 콘텐츠를 전송할 수 있게 됩니다.”

공격자는 그러한 행위를 통해 뭘 하려고 하는 걸까? “궁극적인 목적은 아직 잘 모르겠습니다. 하지만 C&C 서버에서 한 광고 페이지가 발견됐습니다. 소셜 네트워크 플랫폼에서 스팸을 보낼 수 있다는 내용이었습니다. 스팸과 피싱 캠페인을 직접하거나 대행하는 서비스를 제공하기 위해 뭔가가 준비되고 있다는 느낌이 강합니다.”

첫 번째 멀웨어는 공격 대상이 되는 장비에 침투해 루트 권한을 얻어내는 기능을 발휘한다. 성공할 경우 공격자들은 쿠키를 자신들이 장악한 서버로 전송할 수 있게 된다. “여기까지만 해도 이론상 공격은 성공할 수 있습니다. 하지만 소셜 미디어 플랫폼들이 호락호락하지 않죠. 수상한 로그인 활동에 대해 제재를 가합니다. 사용자가 로그인한 장소와, 공격자가 쿠키를 통해 허위로 로그인한 장소가 물리적으로 지나치게 멀다면, 차단하는 식이죠. 그러므로 이 멀웨어만 가지고는 공격을 성공시키기가 힘듭니다.”

그래서 고안된 게 두 번째 멀웨어라고 카스퍼스키의 두 연구원은 설명한다. 두 사람은 이 두 번째 멀웨어에 유지쳉(Youzicheng)이라는 이름을 붙였다. “이는 악성 애플리케이션의 일종으로, 공격 표적이 된 장비에서 프록시 서버를 운영하는 기능을 가지고 있습니다. 이 때문에 소셜 미디어가 실행하고 있는 보안 장치들을 피해갈 수 있는 것이죠. 정상적인 로그인처럼 보이게 만드는 게 이 두 번째 멀웨어의 역할입니다.”

이 두 가지 멀웨어는 이제 막 퍼져나가기 시작한 것으로 보인다. 카스퍼스키가 추적한 바에 따르면 현재까지 피해자는 1천 명이 채 되지 않는다고 한다. 하지만 증가하는 중이라 안심할 수는 없다고 한다.

카스퍼스키는 쿠키씨프를 시부(Sivu), 트리아다(Triada), 지톡(Ztorg)와 관련이 있는 것으로 의심하고 있다. “이 멀웨어들은 장비 제조 및 출시 과정에 심깁니다. 소비자가 새 장비를 구매할 때 멀웨어가 있는 것들을 구매하는 것이죠. 그러면 처음부터 장비에 대한 제어권이 공격자에게도 넘어가게 되어 있습니다. 이런 과정을 통해 지금 쿠키씨프와 유지쳉이 퍼지고 있을 확률이 가장 높아 보입니다.”

3줄 요약
1. 쿠키씨프와 유지쳉, 안드로이드 환경에서 새롭게 출몰한 멀웨어 콤비.
2. 하나는 루트 권한 탈취해 쿠키 빼돌리고, 하나는 프록시 서버 운영해 SNS 플랫폼 속이고.
3. 아직 정확한 침투 경로 모르나, 장비 판매 전부터 미리 심긴 듯.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)