아마 속을 사람 없겠지만...공격자들은 블랙넷이라는 멀웨어 퍼트리려고 해
[보안뉴스 문가용 기자] 보안 업체 멀웨어바이츠(Malwarebytes)의 전문가들이 가짜 백신 소프트웨어를 유통하는 웹사이트를 발견해냈다. 재미있는 건 이 사이트를 개설한 사기꾼들이 이 소프트웨어를 통해 실제 COVID-19를 제거할 수 있다고 광고했다는 것이다.
[이미지 = iclickart]
문제의 사이트는 antivirus-covid19.site로, “저희의 인공지능 코로나 백신을 다운로드 하면, 코로나 COVID-19 바이러스의 위험으로부터 보호받을 수 있습니다”라는 문구를 내걸고 있다. 컴퓨터 바이러스와 인체를 감염시키는 바이러스를 헷갈린 것일까. 멀웨어바이츠는 “굉장히 코믹한 상황”이라고 이를 묘사했다.
멀웨어바이츠가 블로그를 통해 밝힌 내용에 의하면 이 ‘코믹한’ 사이트의 운영자는 해당 사이트가 진짜인 것처럼 보이기 위해 유명 학술 기관의 이름을 가져다 쓰기도 했다. 자신들이 가지고 있는 백신은 하버드 대학의 과학자들이 개발한 것이라고 설명을 했는데, 이 문장도 대단히 재미있다. “윈도우 앱을 사용해 바이러스를 퇴치하기 위해 오랜 기간 연구를 거듭해 온 하버드 대학 출신의 특수 인공지능 개발자들이 참여했습니다.”
진짜처럼 보이기 위한 노력은 여기서 끝나지 않았다. 원자나 분자 구조처럼 생긴 것을 세 사람이 둥글게 마주보고 서서 쳐다보는 그래픽 등 ‘있어 보이는’ 요소도 사이트에 삽입한 것이다. 그 중 한 사람은 분자 구조 같은 것에 손가락질을 하고 있는데, 답(혹은 치료제)을 찾아낸 듯한 뉘앙스를 풍긴다.
그러면서 사이트 운영자들은 “저희가 배포하는 앱이 실행되는 동안 당신의 PC가 당신을 코로나 바이러스의 감염으로부터 지켜줄 것”이라고 당당히 밝혔다.
멀웨어바이츠는 “이런 내용에 속아 피해를 입은 사람이 있을 거라고는 상상하기 힘들다”며 비웃었지만, “실제로 다운로드 되는 것이 멀웨어이니만큼 주의에 주의를 거듭해야 할 것”이라고 블로그를 통해 경고했다.
공격자들이 퍼트리고자 하는 건 다름이 아니라 원격 관리자 도구인 블랙넷(BlackNet)이었다. 블랙넷은 다운로드 되어 설치된 직후부터 PC를 감염시켜 종국에는 봇으로 만든다. 봇이 된 후에는 공격자들이 명령을 보내 자신들이 원하는 것을 할 수 있게 된다.
멀웨어바이츠는 “블랙넷은 지난 달 깃허브(GitHub)를 통해 공개된 툴킷”이라며 “당시 소스코드가 전부 공개됐었다”고 설명한다. “디도스 공격, 스크린샷 캡처, 파이어폭스 쿠키 탈취, 저장된 비밀번호 탈취, 키 로깅, 스크립트 실행, 비트코인 지갑 주소 탈취 등 다양한 기능을 가진 것으로 밝혀졌습니다.”
멀웨어바이츠는 이 사실을 클라우드 인프라 업체인 클라우드플레어(CloudFlare)에 알렸다고 한다. “공격자들은 클라우드플레어 인프라를 악용하고 있었습니다. 그래서 클라우드플레어는 이 사실을 알자마자 웹사이트에 ‘피시’라는 꼬리표를 달았죠.” 이제 여기에 속는 사람은 거의 없을 것으로 보인다.
3줄 요약
1. “코로나 바이러스를 치료해주는 소프트웨어 백신” 나옴.
2. 피싱 공격자들, 인체 바이러스와 컴퓨터 바이러스 구분 못하는 모양.
3. 공격자들이 퍼트리려던 블랙넷은 한 달 전 깃허브에서 공개된 멀웨어.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>