2010년 2월 16일 ASEC에서는 전자 메일로 유포되었던 Zbot 트로이목마 변형들이 웹 사이트의 iFrame을 이용해 다른 악성코드 감염을 시도한다는 “2중 감염 기법을 사용하는 Zbot 변형“이라는 글을 게시한 바가 있었다.
2010년 2월 21일에는 이러한 2중 감염 기법이 적용된 페이스북(Facebook) 사용자 로그인 웹사이트로 위장한 피싱(Phishing) 웹 사이트에서 iFrame을 이용해 다른 악성코드 감염을 시도한 사례가 해외에서 발견되었다.
이번에 발견된 페이스북으로 위장한 피싱 웹 사이트는 최초 전자 메일로 유포 된 것으로 알려져 있으며 해당 전자 메일 본문에는 아래 이미지와 같은 페이스북 사용자 정보를 입력하도록 되어 있는 페이스북 관련 피싱 웹 사이트 링크가 포함되어 있었다.
해당 피싱 웹 사이트에서는 사용자 정보를 입력하게 되면 다시 아래 이미지에서와 같이 사용자 이름과 국가 정보를 입력하게 되어 있으며 입력이 완료되면 정상적인 페이스북 웹 사이트로 연결하도록 되어 있다.
그러나 이렇게 사용자 정보를 입력 받는 페이스북 피싱 웹 사이트의 소스코드를 확인 해보면 “2중 감염 기법을 사용하는 Zbot 변형“이라는 글에서와 동일한 형태로 iFrame을 이용해 카자흐스탄(Kazakhstan)에 위치한 특정 시스템으로 사용자 모르게 연결되도록 하고 있다.
해당 페이스북 피싱 웹 사이트에서 iFrame을 이용해 연결하는 해당 시스템에는 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)과 어도비 아크로뱃(Adobe Acrobat)과 플래쉬(Flash) 취약점을 악용하는 취약한 파일들이 존재하고 있다.
해당 서버에 존재하는 취약한 파일들은 다음의 취약점들을 악용하여 다른 악성코드의 감염을 시도하고 있다.
Categories:악성코드 정보