- 페이스북을 사칭한 발신자로 첨부파일 실행유도 

- 첨부파일 실행 시 사용자 동의 없이 외부 통신을 위한 포트개방 

- 의심스러운 메일 첨부파일 실행 자제 및 백신 업데이트 철저


글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 SNS[소셜네트워크서비스] 사용인구가 증가하는 가운데, 최근 유명 SNS 플랫폼 페이스북 알림메일을 사칭한 악성메일이 발견되어 사용자 주의가 요구된다고 밝혔다.

 

안랩의 월간 보안 보고서인 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다[ALFRED SHERMAN added a new photo with you to the album]’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘Facebook’으로만 표시되어 있다. 본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라[One of your friends added a new photo with you to the album, View photo with you in the attachment]”는 내용이 적혀있다. 첨부된 zip파일의 압축을 풀면 ‘NewPhoto-in_albumPhto_.jpeg.exe’라는 그림 파일을 위장한 실행파일이 나온다.

 

해당 파일을 실행하면 실행파일 내부에 포함된 악성코드가 설치된다. 이 악성코드는 사용자 몰래 외부 특정서버와 통신하기 위한 포트를 개방한다. 즉, 외부 서버와 통신해 추가 악성코드를 다운로드 받거나 PC 내부에 저장된 정보를 외부로 유출할 수도 있다. 또한, 악성코드를 사용자의 레지스트리에 등록해 부팅 시에 자동으로 실행되도록 한다. 현재 안랩 V3는 해당 악성코드를 진단 및 치료하고 있다.

 

안랩 김홍선 대표는 “페이스북이나 트위터 등 사용자가 많은 유명 SNS의 관리자인 것처럼 위장해 악성메일을 보내 악성코드를 배포하는 방식은 예전부터 자주 발견되고 있다. 이는 향후 첨부파일이나 내용을 다르게 해서 다시 확산될 수 있다. 이런 피해를 방지하기 위해서는 의심스러운 메일의 첨부파일을 실행하는 것을 자제하고 백신을 최신 버전으로 업데이트 하는 것이 필요하다”라고 말했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다.

이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다.

참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다.



이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다.

메일제목 : Your password is changed

메일본문
Good afternoon
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
FaceBook Service.
Of course, Halls success led to an immediate recrudescence of the efforts to extract artemisium from the Syx ore, and, equally of course, every such attempt failed.Hall, while keeping his own secret, did all he could to discourage the experiments, but they naturally believed that he must have made the very discovery which was the subject of their dreams, and he could not, without betraying himself, and upsetting the finances of the planet, directly undeceive them. The consequence was that fortunes were wasted in hopeless experimentation, and, with Halls achievement dazzling their eyes, the deluded fortune-seekers kept on in the face of endless disappointments and disaster. And presently there came another tragedy. The Syx mill was blown up! The accident--although many people refused to regard it as an accident, and asserted that the doctor himself, in his chagrin, had applied the match--the explosion, then, occurred about sundown, and its effects w ere awful.


메일제목 : Spam from your Facebook account

메일본문
Good afternoon.
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for attention.
Your Facebook!
About the room and in and out of her shop moved Edith, going softly and quietly.A light began to come into her eyes and colour into her cheeks. She did not talk but new and daring thoughts visited her mind and a thrill of reawakened life ran through her body. With gentle insistence she did not let her dreams express themselves in words and almost hoped that she might be able to go on forever thus, having this strong man come into her presence and sit absorbed in his own affairs within the walls of her house. Sometimes she wanted him to talk and wished that she had the power to lead him into the telling of little facts of his life. She wanted to be told of his mother and father, of his boyhood in the Pennsylvania town, of his dreams and his desires but for the most part she was content to wait and only hoped that nothing would happen to bring an end to her waiting.


첨부파일은 이전과 동일하게 아이콘이 word 문서인 것처럼 보이나 실제로 확장명을 보면 word 문서 파일이 아닌 exe 실행파일임을 알 수 있다.

파일명 : Attached_SedurityCode.exe (두 스팸메일에 첨부된 파일명은 동일함.)


[그림1] 첨부된 악성코드


사용자가 악성코드를 실행하게 되면 문서파일인 것처럼 위장하기 위해 워드파일을 드랍 후 파일을 열기 때문에 사용자는 의심을 덜하게 된다.


[그림2] 사용자를 속이기 위해 열려진 워드문서 파일


현재 V3에서는 아래와 같은 진단명으로 진단/치료가 가능하다.

Attached_SecurityCode.exe 
 - Win-Trojan/Fakeav.51712.V (51,712 bytes)
Attached_SecurityCode.exe 
 - Win-Trojan/Agent.33792.AAJ (33,792 bytes)



스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.







 

신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론


지난 9월 트위터(Twitter) DM(Direct Message)를 이용하여 사이트를 전파하는 사례를 포스팅 한 적이 있습니다. 최근 유명 소셜 네트워크서비스(SNS)인 페이스북(Facebook)의 어플리케이션 기능을 통해 플래시게임 페이지로 유도하는 스팸성 글이 발견되었습니다. 트위터와 달리 페이스북은 사용자의 담벼락에 글을 남기는 것을 통해 플래시게임 페이지로 유도하고 있습니다. 이전사례와 마찬가지로 URL을 통한 악성코드 유포와 같은 방법으로 악용될 가능성이 있기 때문에 사용자의 주의가 요구됩니다.

 

 


2.
사이트 유도 방법 및 사례


1)
사이트 유도

 

자신의 담벼락 페이지에 아래와 같은 글이 남겨지게 됩니다.

 

[사례 1] 담벼락에 작성된 글


[사례 2] 담벼락에 작성된 글


해당 글을 클릭하게 되면 아래와 같이 어플리케이션을 허가할 것인지에 대한 페이지가 나타납니다.

  

 


[허가하기]를 누르게 되면 아래와 사례 1, 2 그림과 같이 특정 페이지가 나타납니다.

 

 [사례 1] 사용자 클릭 유도 페이지


[사례 2] 사용자 클릭 유도 페이지


가운데 'ENTRAR'을 누르게 되면 아래와 같은 스페인어로 이루어진 플래시게임 페이지(사례1)와 인터넷 시작 페이지 설정할 수 있는 메세지 창(사례2)이 나타납니다. 사례 1, 2에 해당되는 페이지에서는 악성코드 다운을 유도하거나 유포하는 악의적인 기능은 확인되지 않았습니다.
 

 

[사례 1] 플래시 게임 페이지


[사례 2-1] 시작 페이지 추가 메시지창

[사례 2-2] 시작페이지에 등록되는 특정 웹페이지


또한, 확인된 내용으로는 사례 1, 2와 같이 가운데 ENTRAR을 누르는 순간 아래 그림과 같이 등록되어 있는 친구의 담벼락에 자신이 받았던 글이 똑같이 게시되게 됩니다.


 [사례 1] 친구 담벼락에 게시된 글

 

[사례 2] 친구 담벼락에 게시된 글



3. Facebook
에 허가된 어플리케이션 삭제 방법

 

Facebook 메인 화면에서 [계정] → [개인 정보 설정]을 클릭합니다.

 

 

 

다음 페이지의 하단의 [설정 관리]를 클릭합니다.

 



 

다음 페이지에서 [설정 관리]를 클릭합니다. 

 



다음 페이지에 보면 Grupo라는 어플리케이션이 허가되어 있는 것을 볼 수 있습니다. 설정 관리 옆의 [x] 버튼을 눌러 삭제를 합니다.

 

 


[제거]를 선택합니다.

 

 

 

다시 한 번 사용자 어플리케이션 목록을 확인하면 Grupo가 삭제된 것을 확인 할 수 있습니다.

 

 

 

4. 주의 사항

 
이번 사례를 보면 사용자의 주의 없이 설치되는 Facebook의 특정 어플리케이션이 Facebook에 등록되어 있는 친구들의 담벼락에 플래쉬 게임 홍보구글 광고 페이지로 유도하는 이미지 링크를 남기는 것을 볼 수 있습니다.
이와 같은 방법으로 링크 클릭을 유도해서 악성코드 유포 사이트에 접속이 가능할 수 있으므로, Facebook 사용자분은 주의가 필요합니다. Facebook 쪽지나 담벼락을 이용한 유포되는 출처가 불분명한 이미지 링크 및 URL은 절대 클릭하지 않는 것을 권장합니다.



                                                                                                                                         - Suksuny
                                                                                                                                         - dada319

신고
Creative Commons License
Creative Commons License
Posted by 비회원

예전에 페이스북 사이트를 가장한 악성파일을 첨부한 스팸 메일 기억나시나요?

이번 피싱메일도 페이스북 사이트를 가장하는데 이전과 다르게 피싱으로 계정 등과 같은 개인 정보를 수집하는 목적으로 유포되고 있습니다.

흡사 페이스북 사이트와 유사하여 쉽게 피싱을 당할 수 있으니 PC 사용자들의 주의가 당부됩니다.

현재 유포되고 있는 악성 피싱 메일의 제목은 아래와 같습니다.

new login system
Facebook Update Tool

제목은 상이하지만 메일 본문은 아래와 같이 동일한 내용입니다.

facebookDear Facebook user,
In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security.
Before you are able to use the new login system, you will be required to update your account.
Click here to update your account online now.
If you have any questions, reference our New User Guide.Thanks,
The Facebook TeamUpdate your Facebook account
Update
This message was intended for
XXXXXXX@ahnlab.XXXX <-- 수신한 사용자의 이메일 계정
Facebook's offices are located at 1601 S. California Ave., Palo Alto, CA 94304.

메일 본문 내 링크를 클릭하게 되면 아래의 페이스북을 가장한 사이트로 이동하게 됩니다. 임의의 비밀번호를 입력하더라도 인증없이 다음 페이지로 넘어가게 됩니다.


아래 페이지로 넘어온 후 한번 더 개인 정보를 입력하는데, 이 역시 아무런 정보를 입력하더라도 성공 메세지가 출력되게 됩니다.


개인 정보를 입력한 후에는 원래의 페이스북 페이지로 이동하게 됩니다.



1. 피싱 사이트를 진단하고 차단할 수 있는 프로그램을 설치합니다.



[안철수연구소 제품인 SiteGuard에서 피싱 사이트를 차단한 화면]


2. 메일 본문 내 링크는 가급적이면 직접 클릭하지 마시고 해당 사이트의 주소를 직접 입력하여 접속합니다.





신고
Creative Commons License
Creative Commons License
Posted by 비회원

또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다.

비밀번호를 재설정하라는 제목으로

"Facebook Password Reset Confirmation. Important Message"

유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다.



아래는 악성 스팸 메일 본문 내용입니다.


Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.



V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다.



Facebook_Password_[랜덤한 숫자].exe
    - Win-Trojan/Bredolab.27648.L


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Creative Commons License
Creative Commons License
Posted by 비회원