기업을 위한 IT 전문 파트너
  • 새소식
안랩, 이불 밖은 위험.. 그런데 이불 안 영화도 위험하다?!
  • 제조사
  • 게시일 : 2019-01-24
  • 조회수 : 222
  • SNS공유 페이스북 트위터
한겨울의 매서운 바람과 미세먼지를 뚫고 영화관을 가기가 썩 내키지 않는다는 사람들이 있다. 또 주말마다 영화관을 찾기에는 예전보다 티켓 가격과 그 밖의 부대비용이 살짝 부담스럽다 보니 집에서 영화를 보는 사람들이 늘고 있다. IP TV나 넷플릭스 등 영화를 볼 수 있는 플랫폼과 서비스가 다양해진 것도 ‘나 홀로 영화족’이 늘어난 이유다. 이런 사회적 변화를 눈치채기라도 한 듯 나 홀로 영화족을 겨냥한 공격이 이어지고 있다. 이와 관련해 영화 파일로 위장한 악성코드와 스트리밍 서비스의 성인 인증 페이지로 위장한 악성코드 공격 사례를 살펴본다.



(*이미지 출처: shutterstock.com)



1. 영화 파일로 위장한 악성코드


영화 파일로 위장한 악성코드가 최근 발견되었다. 해당 악성 파일은 바로가기 파일(이하 LNK) 형식으로 제작되어 있으며, P2P 파일 공유 프로그램 토렌트를 통해 유포되었다.

영화 파일로 위장한 악성 LNK 파일은 [그림 1]과 같이 정상 동영상 파일과 유사한 외형을 하고 있다. 그러나 자세히 확인해보면 아이콘 아래쪽에 화살표 모양이 추가된 것을 확인할 수 있다. 이 LNK 파일은 연결된 다른 파일을 실행하는 역할을 수행한다.
 



[그림 2] 문자 인코딩 변경을 거쳐 확인한 이메일 제목 및 첨부 파일 이름



영화 파일로 위장한 악성 LNK 파일은 파워셸(Powershell)을 실행하고 추가 악성 프로그램을 다운로드한다. 이렇게 실행된 파워셸 코드가 악성 행위를 담당하는 여러 모듈을 다운로드하고 실행한다.



[그림 2] 악성 LNK 파일 실행 과정

 



[그림 3] 악성 LNK 파일의 파워셸 프로그램 실행 명령어

 

악성 LNK 파일이 최종적으로 다운로드한 파일은 가상화폐 정보를 탈취하는 악성코드이다.


2. 영화 스트리밍 사이트의 인증 페이지로 위장한 악성코드

영화 스트리밍 사이트의 성인 인증 페이지로 위장한 악성코드도 발견되었다. 해당 악성코드는 사용자 시스템의 취약점을 노린 익스플로잇킷(Exploit Kit)을 사용했다.
 



[그림 4] 성인 인증 페이지로 위장한 악성 사이트

 

[그림 4]에서 보는 바와 같이 영화 스트리밍 사이트의 성인 인증 페이지와 매우 유사하지만, 자세히 확인해보면 페이지 아래쪽에 악성 스크립트가 삽입되어 있다. 악성 스크립트는 이 웹 페이지에 접속한 사용자 시스템에서 응용 프로그램 사용 여부와 설치된 버전을 확인하여 취약점이 있는 버전인 경우, 해당 버전에 맞는 취약점 코드를 실행한다.

또한 악성코드는 레지스트리 값을 변경하여 사용자 몰래 시스템에 악성 프로그램을 설치하거나 시스템 설정을 변경할 수 있도록 했다. 사용자가 더욱 알아차리기 어려워진 것이다.

한편 해당 악성코드는 2014년에 국내 사용자를 대상으로 금융 정보를 탈취하는 파밍 악성코드를 유포하는데 많이 사용되었던 공격 도구인 CK VIP(Kaxin) 를 통해 유포되고 있다. CK VIP는 공격 성공률을 높이기 위해 새로운 취약점 정보가 계속 추가되고 있기 때문에 사용자들의 주의가 더욱 요구된다.

최근 플랫폼과 서비스의 다양화로 인해 집에서 PC나 스마트TV 등을 통해 영화 콘텐츠를 이용하는 사람들이 늘었다. 그러나 많은 사용자가 몰리는 곳은 공격자의 관심을 끌기 마련이다. 즐겁게 영화를 감상하려다 뜻하지 않게 악성코드에 감염되어 피해를 입지 않기 위해서는 반드시 공인된 업체(플랫폼, 서비스)의 콘텐츠를 이용하는 것이 바람직하다. 또 영화 콘텐츠를 다운로드하거나 실행하기 전에 PC에 설치된 주요 응용 프로그램(JAVA, Flash Player, IE 등)을 항상 최신 버전으로 업데이트하고 최신 버전의 백신 프로그램을 사용하는 습관이 필요하다.

또한 파일 공유 사이트의 검증되지 않는 파일이나 다운로드 URL은 각별히 주의해야한다. 알 수 없는 파일, 불법 파일 등을 다운로드하지 않도록 하고, 인터넷 게시글에 포함된 하이퍼링크나 URL을 클릭하기 이전에 반드시 주소를 다시 한번 확인하는 자세가 필요하다.

 

[출처 : 안랩((((www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP