본문 바로가기
악성코드 정보

HTML 파일이 첨부된 페이스북으로 위장한 메일

by 알 수 없는 사용자 2011. 10. 27.

2010년 6월 15일 오전 해외 일부 국가와 한국에서 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 페이스북(Facebook)의 사용자 계정 리셋 메일로 위장한 악의적인 메일이 유포되었다.

페이스북을 사칭하여 악의적인 메일이 유포된 사례는 이 번이 처음이 아니며
2010년 4월에도 페이스북 보안팀으로 위장하여 Bredolab 변형을 유포한 사례도 존재하며 지속적으로 소셜 네트워크 서비스로 위장하여 악성코드 유포를 시도되어 왔다.

금일 유포된 페이스북의 사용자 계정 암호의 리셋 안내 메일로 위장한 악의적인 메일은 다음과 같은 메일 형태를 가지고 있다.

* 메일 제목
Reset your Facebook password

* 메일 본문
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

* 첨부 파일
facebook_newpass.html

이번에 유포된 페이스북의 사용자 계정 암호의 리셋 안내 메일로 위장한 악의적인 메일은 기존에 발견된 악의적인 메일처럼
ZIP으로 압축된 악성코드메일 본문에 웹 사이트 링크를 제공하는 피싱(Phishing) 웹 사이트로 연결하는 것과는 다른 HTML 파일 자체가 첨부된 형태로 존재하였다.

해당 메일에는 윈도우 시스템에서 실행 가능한 파일(EXE) 형태가 아니라 HTML 파일이 첨부 되어 있었으며 해당 HTML 파일은 자바스크립트(JavaScript)로 제작되었으나 인코딩을 통해 난독화되어 있다.



첨부된
facebook_newpass.html (535 바이트)이 실행 되면 사용하는 웹 브라우저(Web Browser)를 통해 특정 웹 사이트로 접속하도록 되어 있으며 해당 웹 사이트에 존재하는 z.htm 파일이 브라우징하도록 되어 있다.


브라우징 된 z.htm 파일은 위 이미지 파일에서 처럼 다시 특정 시스템을 재연결하도록 되어 있으며 실제 해당 시스템으로 재연결이 이루어지면 아래 이미지에서와 같이 익히 알려진 성인 약품 광고를 하는 웹 사이트로 연결하도록 되어 있다.


현재는 위 이미지와 같은 성인 약품 광고를 위한 스팸 웹 사이트로 연결하도록 되어 있으나 공격자의 성향에 따라 취약점을 악용하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF, 개인 정보 유출을 노리는 다른 악성코드 감염 또는 사용자 암호를 유출하는 피싱 웹 사이트 등의 다양한 방법으로 악용할 가능성이 높은 것으로 분석 된다.

이번 페이스북의 사용자 계정 암호 리셋 메일로 위장하여 유포되 HTML 파일은 V3 제품군에서 다음과 같이 진단한다.

JS/Redirector

이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글