세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주간 악성링크] 평창올림픽 사칭 악성메일 또 출현
  |  입력 : 2018-02-16 18:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올림픽 오륜기 사용 OlympicGame.exe 파일명 위장...이름과 메일 주소 요구
평창 동계올림픽 사칭한 정부기관 발송 메일 위장, 매크로 활성화 클릭 유도
4개월간 수집된 악성코드 탑3는 PUA.Shedun, PUA.SmsPay, Trojan.Downloader


[보안뉴스 김경애 기자] 최근 평창 동계올림픽을 사칭한 악성코드가 계속 탐지되고 있어 이용자들의 각별한 주의가 필요하다. 뿐만 아니라 한 주간 웹사이트 내에 은닉한 유해사이트 유포가 큰 폭으로 증가한 것으로 나타났다. 모바일에서는 지속적으로 광고를 노출시켜 광고사에 수익을 발생시키는 PUA.Shedun 악성코드가 기승을 부렸다.

[이미지=안랩]


평창 동계올림픽 사칭 악성코드 ‘주의’
평창 동계올림픽을 사칭한 악성코드는 올림픽 오륜기 이미지를 아이콘으로 사용해OlympicGame.exe 라는 파일명으로 위장했다. 해당 파일을 실행하면 평창 동계올림픽을 사칭하는 복권 가입 신청서가 나타나며, 사용자의 이름과 이메일 주소를 요구한다. 조금만 자세히 살펴보면 평창 동계올림픽과 전혀 무관한 로고 이미지 등 수상한 점을 발견할 수 있지만, 적지 않은 사용자들이 이를 눈치채지 못해 낭패를 겪고 있다.

[이미지=안랩]


입력란에 이름과 메일 주소를 입력하고 ‘가입’ 버튼을 클릭하면, 입력된 정보가 공격자에게 전송된다. 만일 전송 과정에서 오류가 발생할 경우 응용 프로그램 오류 창이 뜨기도 한다.

[이미지=안랩]


이와 관련 안랩은 “OlympicGame.exe는 사용자 정보를 공격자에게 전송할 뿐만 아니라 PC 내부에서도 악성행위를 한다”며 “악성코드 실행 시 임시경로에 추가로 생성된 winupdate.exe 파일은 시작프로그램이나 예약 작업에 악성코드를 등록해 자동 실행시키는 역할을 한다. 또한, 악성 파일은 C&C 서버로부터 추가 악성코드를 다운로드한다”고 밝혔다.

[이미지=안랩]


평창 동계올림픽 사칭 악성 메일도 발견
평창 동계올림픽을 사칭한 악성 메일도 탐지되고 있어 주의가 필요하다. 최근 유포되고 있는 이메일은 정부기관에서 발송한 것으로 위장하고 있으며, 파일명은 ‘농식품부, 평창 동계올림픽 대비 축산악취 방지 대책 관련기관 회의 개최.doc’다.

[이미지=안랩]


해당 파일을 열면 문서 상단에 보안 경고 메시지가 나타난다. 경고 메시지 내용에 따라 [콘텐츠 사용] 버튼을 클릭하면 악성 매크로가 활성화된다.

활성화된 매크로는 파워쉘(PowerShell)을 실행한다. 파워쉘은 특정 URL로 접속하여 사용자 PC에 추가 악성파일을 다운로드하는 등의 악의적인 동작을 수행하는 것으로 분석됐다.

이에 대해 안랩은 “사람의 호기심 또는 사회정치적 이슈를 이용하는 사회공학기법(Social Engineering)은 고전적인 공격 기법이지만 여전히 유효하다. 평창 동계올림픽 기간 동안 위의 사례와 같은 보안 위협이 지속적으로 나타날 것으로 전망돼 더욱 각별한 주의가 필요하다”고 당부했다. ​

웹사이트 내에 은닉한 유해 사이트 증가
한 주간 웹 사이트 내에 은닉한 유해 사이트가 증가한 것으로 분석됐다.

[이미지=빛스캔]


빛스캔이 발표한 2월 2주차 인터넷 위협 분석 보고서에 따르면 “CK Exploit Kit과 CVE-2014-6332 (VBScript, GodMode), 신규 경유지 및 파급력, 파밍C&C 서버, 네이버 계정 정보 탈취 등의 악성행위가 소강상태로 접어든 반면, 한 주간 웹 사이트 내에 은닉한 유해사이트 유포는 증가했다”며 주의를 당부했다.

모바일 악성코드, PUA Shedun 주의
이와 함께 최근 4개월간 수집된 바이러스(VIRUS), 애드웨어(ADWARE), PUA 통계 결과, 수집량이 작년 전체에 비해 큰 폭으로 감소하는 추세를 보였다.

[표=NSHC]


NSHC에 따르면 2월 13일까지 수집된 악성코드를 기준으로 바이러스와 유사한 수집량을 보였던 애드웨어 수집량을 포함해 전체적으로 감소 추세를 보였다고 밝혔다.

최근 4개월간 수집된 악성코드 유형 중 수집량이 가장 많은 탑 3는 PUA.Shedun, PUA.SmsPay, Trojan.Downloader다.

[표=NSHC]


PUA.Shedun은 정상 어플리케이션에서 애드웨어를 포함하여 리패키징한 후 배포되며, 지속적으로 광고를 노출시켜 광고사에 수익을 발생시킨다. 특히, 루트 권한을 요청하는 경우도 있어 주의가 요구된다.

PUA.SmsPay는 사용자의 연락처를 외부로 전송하고, 특정 번호로 문자를 전송해 과금을 유발할 수 있다.

Trojan.Downloader는 사용자의 동의 없이 감염된 단말기에 악의적인 목적으로 어플리케이션을 다운로드하고 설치를 유도한다.

이외에도 새롭게 순위에 오른 Trojan.SmsSend는 사용자 의도와 상관없이 특정 번호로 문자를 전송하고, 과금을 유발하는 종류의 바이러스로 눈여겨 봐야 할 필요가 있다는 지적이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 8
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술