호플러텍스트 없다는 오류 메시지, 누르면 멀웨어 다운로드
작년 엘테스트와 비슷...크롬과 파이어폭스 사용자 특히 주의 필요
[보안뉴스 문가용 기자] 가짜 팝업창을 활용한 사이버 공격이 발생하고 있다. 특히 구글 크롬과 파이어폭스 브라우저 사용자들이 위험하다고 한다. 해당 팝업은 겉으로 봐서는 특정 웹 폰트가 없다는 내용이지만 사실은 악성 자바스크립트 파일을 포함하고 있는 것으로, 넷서포트 매니저(NetSupport Manager)라는 원격 접근 툴이나 록키 랜섬웨어를 다운로드 받는 것이 주요 목적이다.
[이미지 = iclickart]
이 공격을 제일 먼저 발견한 건 SANS의 보안 전문가 브래드 던칸(Brand Duncan)과 팔로알토 네트웍스(Palo Alto Networks)의 유닛42(Unit 42)다. 양측 모두 이번에 발견한 새로운 공격이 2016년 12월에 발견된 엘테스트(ElTest) 멀웨어와 흡사한 측면이 있다고 말한다.
공격은 일단 특정 사이트로 사용자를 우회시키는 것으로 시작된다. 1) 덫이 잔뜩 깔린 웹사이트로 사용자를 유도하거나 우회시킨다. 2) 사용자가 들어오는 순간 가짜 팝업 메시지가 뜬다. 3) “호플러텍스트(HoeflerText)라는 폰트가 없으니 사이트가 제대로 보이지 않을 수 있습니다.” 4) “업데이트 버튼을 누르면 폰트가 설치되고 사이트를 정상적으로 볼 수 있습니다.” 5) 사용자가 업데이트 버튼을 클릭하면 Win.JSFontlib09.js라는 파일이 다운로드 된다. 6) 이 파일은 록키 랜섬웨어를 설치한다.
샘플마다 공격법이 약간씩 달라지기도 한다. 던칸은 “호플러텍스트라는 서체가 없다는 오류 메시지가 뜨는 것까지는 똑같은데, 업데이트 버튼을 누르면 Font_Chrome.exe라는 파일이 다운로드 된다”고 말한다. “이 파일을 실행시키면 또 다른 파일이 다운로드 되는데, 이 파일은 시스템에 넷서포트 매니저를 설치합니다. 넷서포트 매니저는 원격 접근 툴입니다.
던칸은 “랜섬웨어가 RAT로 바뀌었다는 것에 주목해야 한다”는 입장이다. “랜섬웨어는 언제나 커다란 위협거리입니다. 아직도 일반 기업들은 제대로 방어하지 못하고 있기도 하고요. 그런데 그걸 버리고 RAT로 바꿨다? 최근 공격자들 사이에서 유행하는 전략이 바뀌고 있다고밖에 볼 수가 없습니다. 일단 원격에서 충분히 감시를 한 후에 잘 먹힐만한 추가 공격을 시도한다는 매우 조심스러운 전략이죠.”
한편 이러한 웹 페이지로 사용자들을 우회시키는 데에는 스팸 전략이 활용된 것으로 나타났다. “주목해야 할 건 유명 클라우드 업체인 드롭박스(Dropbox)의 것으로 보이는 가짜 드롭박스 페이지들이 여기에 관여되었다는 겁니다.” 던칸에 의하면 크롬이나 파이어폭스가 아닌 브라우저로 악성 페이지에 접속하면 폰트 오류 메시지가 아니라 가짜 백신 경고 이메일이 전송된다. “여기엔 가짜 기술 지원 전화번호가 안내되어 있습니다. 즉, 기술 사기 공격이 시작되는 것이죠.”
경고의 출처는 드롭박스의 no-reply@dropbox.com 주소인 것처럼 나타난다. 제목은 “이메일 주소를 확인하세요” 혹은 이와 비슷한 내용이며, “이메일 주소를 확인하면 등록이 완료됩니다”라는 안내문구가 밑에 배치된다. “확인” 버튼을 누르면 엘테스트나 호플러텍스트 팝업이 뜨는 악성 사이트로 연결된다.
“크롬 사용자들은 호플러텍스트 설치를 요구하는 팝업창에 대하여 특별히 주의할 필요가 있습니다. 업데이트나 확인 버튼을 누른다고 해도 당장에 체감되는 변화는 없을 것이지만, 매일 조금씩 뭔가가 바뀔 겁니다. 윈도우 호스트에서 넷서포트 매니저가 발견되었다면, 호플러텍스트 공격에 당한 것으로 봐도 무방합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
작년 엘테스트와 비슷...크롬과 파이어폭스 사용자 특히 주의 필요
[보안뉴스 문가용 기자] 가짜 팝업창을 활용한 사이버 공격이 발생하고 있다. 특히 구글 크롬과 파이어폭스 브라우저 사용자들이 위험하다고 한다. 해당 팝업은 겉으로 봐서는 특정 웹 폰트가 없다는 내용이지만 사실은 악성 자바스크립트 파일을 포함하고 있는 것으로, 넷서포트 매니저(NetSupport Manager)라는 원격 접근 툴이나 록키 랜섬웨어를 다운로드 받는 것이 주요 목적이다.
[이미지 = iclickart]
이 공격을 제일 먼저 발견한 건 SANS의 보안 전문가 브래드 던칸(Brand Duncan)과 팔로알토 네트웍스(Palo Alto Networks)의 유닛42(Unit 42)다. 양측 모두 이번에 발견한 새로운 공격이 2016년 12월에 발견된 엘테스트(ElTest) 멀웨어와 흡사한 측면이 있다고 말한다.
공격은 일단 특정 사이트로 사용자를 우회시키는 것으로 시작된다. 1) 덫이 잔뜩 깔린 웹사이트로 사용자를 유도하거나 우회시킨다. 2) 사용자가 들어오는 순간 가짜 팝업 메시지가 뜬다. 3) “호플러텍스트(HoeflerText)라는 폰트가 없으니 사이트가 제대로 보이지 않을 수 있습니다.” 4) “업데이트 버튼을 누르면 폰트가 설치되고 사이트를 정상적으로 볼 수 있습니다.” 5) 사용자가 업데이트 버튼을 클릭하면 Win.JSFontlib09.js라는 파일이 다운로드 된다. 6) 이 파일은 록키 랜섬웨어를 설치한다.
샘플마다 공격법이 약간씩 달라지기도 한다. 던칸은 “호플러텍스트라는 서체가 없다는 오류 메시지가 뜨는 것까지는 똑같은데, 업데이트 버튼을 누르면 Font_Chrome.exe라는 파일이 다운로드 된다”고 말한다. “이 파일을 실행시키면 또 다른 파일이 다운로드 되는데, 이 파일은 시스템에 넷서포트 매니저를 설치합니다. 넷서포트 매니저는 원격 접근 툴입니다.
던칸은 “랜섬웨어가 RAT로 바뀌었다는 것에 주목해야 한다”는 입장이다. “랜섬웨어는 언제나 커다란 위협거리입니다. 아직도 일반 기업들은 제대로 방어하지 못하고 있기도 하고요. 그런데 그걸 버리고 RAT로 바꿨다? 최근 공격자들 사이에서 유행하는 전략이 바뀌고 있다고밖에 볼 수가 없습니다. 일단 원격에서 충분히 감시를 한 후에 잘 먹힐만한 추가 공격을 시도한다는 매우 조심스러운 전략이죠.”
한편 이러한 웹 페이지로 사용자들을 우회시키는 데에는 스팸 전략이 활용된 것으로 나타났다. “주목해야 할 건 유명 클라우드 업체인 드롭박스(Dropbox)의 것으로 보이는 가짜 드롭박스 페이지들이 여기에 관여되었다는 겁니다.” 던칸에 의하면 크롬이나 파이어폭스가 아닌 브라우저로 악성 페이지에 접속하면 폰트 오류 메시지가 아니라 가짜 백신 경고 이메일이 전송된다. “여기엔 가짜 기술 지원 전화번호가 안내되어 있습니다. 즉, 기술 사기 공격이 시작되는 것이죠.”
경고의 출처는 드롭박스의 no-reply@dropbox.com 주소인 것처럼 나타난다. 제목은 “이메일 주소를 확인하세요” 혹은 이와 비슷한 내용이며, “이메일 주소를 확인하면 등록이 완료됩니다”라는 안내문구가 밑에 배치된다. “확인” 버튼을 누르면 엘테스트나 호플러텍스트 팝업이 뜨는 악성 사이트로 연결된다.
“크롬 사용자들은 호플러텍스트 설치를 요구하는 팝업창에 대하여 특별히 주의할 필요가 있습니다. 업데이트나 확인 버튼을 누른다고 해도 당장에 체감되는 변화는 없을 것이지만, 매일 조금씩 뭔가가 바뀔 겁니다. 윈도우 호스트에서 넷서포트 매니저가 발견되었다면, 호플러텍스트 공격에 당한 것으로 봐도 무방합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
