본문 바로가기
악성코드 정보

페이스북 피싱 웹사이트에서 악성코드 유포

by AhnLab_ASEC 2011. 10. 27.

2010년 2월 16일 ASEC에서는 전자 메일로 유포되었던 Zbot 트로이목마 변형들이 웹 사이트의 iFrame을 이용해 다른 악성코드 감염을 시도한다는 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글을 게시한 바가 있었다.

2010년 2월 21일에는 이러한 2중 감염 기법이 적용된 페이스북(Facebook) 사용자 로그인 웹사이트로 위장한 피싱(Phishing) 웹 사이트에서 iFrame을 이용해 다른 악성코드 감염을 시도한 사례가 해외에서 발견되었다.

번에 발견된 페이스북으로 위장한 피싱 웹 사이트는 최초 전자 메일로 유포 된 것으로 알려져 있으며 해당 전자 메일 본문에는 아래 이미지와 같은 페이스북 사용자 정보를 입력하도록 되어 있는 페이스북 관련 피싱 웹 사이트 링크가 포함되어 있었다.


해당 피싱 웹 사이트에서는 사용자 정보를 입력하게 되면 다시 아래 이미지에서와 같이 사용자 이름과 국가 정보를 입력하게 되어 있으며 입력이 완료되면 정상적인 페이스북 웹 사이트로 연결하도록 되어 있다.



그러나 이렇게 사용자 정보를 입력 받는 페이스북 피싱 웹 사이트의 소스코드를 확인 해보면 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글에서와 동일한 형태로 iFrame을 이용해 카자흐스탄(Kazakhstan)에 위치한 특정 시스템으로 사용자 모르게 연결되도록 하고 있다.


해당 페이스북 피싱 웹 사이트에서 iFrame을 이용해 연결하는 해당 시스템에는 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)과 어도비 아크로뱃(Adobe Acrobat)과 플래쉬(Flash) 취약점을 악용하는 취약한 파일들이 존재하고 있다.


해당 서버에 존재하는 취약한 파일들은 다음의 취약점들을 악용하여 다른 악성코드의 감염을 시도하고 있다.


해당 피싱 웹 사이트 제작자는 다른
웹 익스플로잇 툴 킷(Web Exploit Toolkit)과 연동하는 아래 이미지와 같은 전체적인 구조를 가지고 있으며 1차적으로 피싱 웹 사이트를 통해 페이스북의 사용자 계정과 암호 탈취를 시도한다. 그리고 2차적으로 iFrame을 이용하여 악성코드를 감염 시킴으로서 좀비(Zombie) 시스템으로 악용하거나 다른 개인 정보들의 탈취를 노리고 있는 것으로 볼 수 있다.


위와 같은 전체적인 구조도를 살펴 볼때 2009년 3분기 부터 진행 되었던 전자 메일로 악의적인 웹 사이트를 링크를 전달하는 기법은 2010년에도 지속적으로 등장하고 있는 것으로 분석된다.

컴퓨터 사용자는 수신하는 전자 메일 중 의심스러운 웹 사이트 링크를 클릭하지 않도록 주의하고 마이크로소프트의 다양한 취약점과 함께 다양한 어도비 취약점들이 악용되고 있음으로 사용하는 다양한 어플리케이션의 보안 패치들에 대해서도 주의를 기울여야 한다.

댓글0