[주간 악성링크] 페이스북에서 악성링크 탐지 外

페이스북에서 할인쿠폰을 내려받을 수 있는 악성링크 발견
추석연휴기간 중 국내 웹사이트 타깃 크립토월 3.0랜섬웨어 유포 포착
국내 웹사이트 대상으로 지능적이고 다양한 공격시도 이어져

[보안뉴스 김경애] 많은 사람들이 이용하는 소셜네트워크 페이스북에서 악성링크가 발견되는가 하면, 한 주간 국내 웹사이트 곳곳에서 악성URL과 크립토월3.0 랜섬웨어 유포 정황이 잇따라 탐지됐다. 또한, 개인정보와 금융정보를 노린 피싱 사이트도 포착되고 있어 이용자들의 각별한 주의가 요구된다.

페이스북, 9~10월에 악성URL 발견
수많은 이용자를 보유한 페이스북에서 9월과 10월 scam/fraud/malicious 악성 링크가 잇따라 발견됐다.

▲9월~10월 Fair Price scam 멀웨어가 페이스북 화면

7일 보안업체 웹센스 측은 “최근 싱가포르를 포함한 동남아에서 스캠(SCAM)이 유행했는데, 페이스북에서 할인쿠폰을 내려받을 수 있는 악성링크가 발견됐다”며 “하지만 대부분의 사용자는 이에 대한 위협을 인지하지 못하고 악성링크를 클릭하고 있다. 해당 URL에는 6개의 악의적인 리다이렉션을 포함하고 있으며, 할인쿠폰을 사용고자 하는 할인마트 및 슈퍼마켓 고객이 1차 표적이 되고 있다”며 페이스북 이용자들의 주의를 당부했다.

특히, 스캠은 다른 지역으로 쉽게 전파되고, 국내에서도 페이스북 외에 다양한 소셜 미디어를 통해 진화된 방법으로 해당 공격의 표적이 될 수 있다는 것. 따라서 보안 유효성 재검증 등 지능형 위협에 대한 방어전략이 필요하다는 게 웹센스 측의 설명이다.

악성코드 감염률 높이기 위한 지능적 공격
이어 방문자수가 높은 웹사이트를 타깃으로 악성코드에 감염시키기 위한 공격자의 다양한 시도도 포착됐다.

▲7일 스윗오렌지익스플로잇킷(Sweet Orange Exploit Kit) 공격이 탐지된 XXX 블루 사이트 화면

7일 에스프레소 브랜드 이태리 XXX블루 한국 공식 사이트에서 스윗오렌지 익스플로잇 킷(Sweet Orange Exploit Kit) 공격이 탐지됐다. 이를 본지에 제보한 보안전문가 메가톤(닉네임)은 “해당 사이트에서 악성URL이 삽입된 정황이 포착됐으며, 홈페이지 소스 변조와 FTP에 악성파일을 업로드한 정황이 발견됐다”고 밝혔다.

지난 6일 씨직스XX 사이트에서는 CVE-2011-3544과 CVE-2014-6332, CVE-2012-0773 취약점을 이용해 악성파일을 유포한 정황이 탐지됐다. 또한, CK VIP 익스플로잇킷 공격과 함께 JS를 이용해 악성파일도 유포된 것으로 드러났다.

▲지난 9월28일 악성링크가 삽입된 xxxx일보 사이트 화면

이보다 앞서 지난 9월 28일에도 XXXX일보 사이트의 내부 공용모듈에 악성링크가 삽입된 정황이 포착됐다.

빛스캔 측은 “해당 사이트는 주로 해외에서 거주하는 사람들에게 인지도가 높은 매체로 알려졌다”며 “더욱이 해외가 아닌 국내에서도 XX일보 홈페이지를 통해서 접속하게 할 수 있는 배너가 존재하고 있어 국내 사용자도 악성링크에 노출됐을 가능성이 있는 등 해당 사이트를 방문하는 사용자에게 피해를 주 수 있다”고 밝혔다. XXXX일보에 삽입되어 연결된 악성링크는 새롭게 업데이트된 CK 익스플로잇 킷(v 9.23) 버전으로, 이를 통해 파밍용 악성코드가 다운로드된 것으로 분석됐다.

악성코드 감염 위해 다양한 공격시도
한 주간 악성코드를 전파하기 위한 다양한 공격 시도도 잇따라 포착됐다. 7일 한국xx품질협회 사이트에 악성URL이 삽입된 정황도 포착됐다.

▲7일 악성URL이 삽입된 한국xx품질협회 사이트 화면

또한, 포토그래퍼 XXXjuyoung.com 사이트에서는 무려 10개 이상의 멀티 악성URL이 발견됐는데, 메가톤은 “연예인 및 방송관련 종사자들을 노리고 악성코드를 배포하는 것으로 추정된다”며 이용자들의 주의를 당부했다. 이보다 앞서 지난 5일에는 익산XX유치원 사이트에서 FTP 정보가 탈취돼 악성파일이 업로드 된 것으로 드러났다.

크립토월3.0 랜섬웨어 줄줄이 포착
이어 지난 추석 연휴기간 동안 크립토월3.0 버전의 랜섬웨어가 국내 웹사이트를 타깃으로 뿌려진 것으로 분석됐다.

추석 연휴기간 중 한국원자력XX회의, XXXX오딧서비스, 오떼XX, XX가치평가, 대전광역시 XXX자본지원센터, 저작권 등록 및 인증 대행업체 XX사이트에서 ‎워드프레스 플러그인 취약점‬을 악용해 크립토월 3.0 랜섬웨어가 유포된 정황이 포착됐다.

이를 탐지한 보안전문가 Auditor Lee는 “랜섬웨어가 탐지된 웹사이트 대부분이 보안이 매우 허술하고 제대로 관리되지 못하는 곳”이라며 “기본적인 보안조치조차 되어 있지 않은 상태로 봐선 보안인력이 없는 곳이 상당수로 추정된다. 보안에 대한 관심과 투자가 필요하다”고 지적했다.

금융정보 노린 피싱과 파밍 여전히 활동
이 외에도 한주간 금융정보 탈취를 위한 악성코드의 지속적인 활동이 이어졌는데, IP 대역을 활용한 파밍 악성코드 유포를 통해 금융정보를 수집한 정황이 포착됐으며, 금융정보와 개인정보를 노린 피싱 사이트도 잇따라 발견됐다.

▲6일 페이팔을 사칭한 피싱 사이트 화면

지난 6일에는 인터넷 서비스 사업을 하는 미국기업인 AOL을 위장한 피싱 사이트와 간편결제 분야 글로벌기업 페이팔을 사칭한 피싱 사이트가 발견되기도 했다. 특히, 페이팔을 사칭한 피싱 사이트의 경우 워드프레스 취약점을 악용했다는 게 메가톤의 설명이다. 또한, 에러 표시와 함께 웹사이트 방문자를 카운터하는 404 Not Found 카운터 링크가 XXXX일보, XX오디오 등 몇몇 사이트에서 발견됐다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)