요약 : 보안 외신 해커뉴스에 의하면 페이스북 플랫폼에 가짜 구인 광고가 돌아다니고 있다고 한다. 이 광고를 통해 암호화폐와 크리덴셜을 훔치는 멀웨어인 오버스틸러(Ov3r_Stealer)가 퍼지고 있다고 보안 업체 트러스트웨이브(Trustwave)가 경고했다. 오버스틸러는 윈도 환경에서 작동하며, 정보를 훔친 뒤 공격자가 제어하고 있는 텔레그램의 채널로 전송하는 것으로 분석됐다. 구직자들에게 오버스틸러를 심는 이유는 아직 정확히 파악되지 않고 있으나, 정보를 다크웹에 판매하려는 것이 가장 유력해 보인다. 또한 오버스틸러가 여러 번의 업그레이드를 통해 본격적인 로더 멀웨어로서 활동을 시작할 가능성도 낮지 않아 보인다. 그렇게 될 경우 칵봇(Qakbot)의 경쟁자 혹은 대체제가 생기는 것이라고도 할 수 있다.


배경 : 오버스틸러는 IP 주소와, 그에 기반한 위치 정보, 하드웨어 세부 정보, 비밀번호, 쿠키, 신용카드 정보, 자동 채우기 정보, 브라우저 확장 프로그램, MS 오피스 문건, 백신 프로그램 목록 등을 훔쳐 공격자에게 보낸다. 페이스북 광고를 클릭한 피해자는 PDF 파일을 다운로드 받게 되는데, 거기서부터 공격이 시작되는 것으로 분석됐다.

말말말 : “아무런 의심 없이 PDF 문건 등의 파일을 받아 여는 건 대단히 위험한 행동입니다. 출처가 분명하지 않은 건 무시하거나 가상의 환경에서 여는 것을 추천합니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>