가짜 업데이트 요청 주로 개방형 WiFi 사용장소에서 발생

페이스북 및 유튜브 사이트 방문하는 경우에만 감염 위험

[보안뉴스 민세아] 트렌드마이크로(Trend Micro) 연구소에서 최근 발표한 자료에 따르면, MS 인터넷 익스플로러(IE)와 Adobe 플래시 플레이어를 가짜로 업데이트 하도록 요청해 악성파일을 감염시키는 방식이 발견됐다.

최근 발견된 가짜 업데이트 요청을 분석한 결과, 악성파일을 감염시키기 위한 가짜 다운로드 사이트로 유도하는 것이 밝혀졌다. MS 인터넷 익스플로러 및 Adobe 플래시 플레이어의 가짜 업데이트 요청은 주로 개방형 Wi-Fi를 사용하는 장소에서 사용자가 유튜브나 페이스북 사이트를 접속할 때 업데이트가 필요하다는 경고창 이후에 나타난다.

업데이트 요청시 사용되는 가짜 다운로드 사이트는 일반 업데이트 요청 사이트와 구별할 수 없으며, 업데이트를 승인하게 되면 호스트가 악성 스파이웨어(TSPY_FAREIT.VAOV)에 감염된다.

※TSPY_FAREIT.VAOV : 감염된 호스트의 웹 브라우저에 저장된 사용자 아이디와 패스워드 등을 탈취하는 스파이웨어로서 전세계에 큰 피해를 입혔던 ZeuS와 같은 다른 악성코드도 시스템에 다운로드시킴

공격자들은 가짜 업데이트 요청을 위해 인터넷 접속을 위한 무선 라우터나 모뎀의 DNS 서버 설정을 조작한다. 가짜 업데이트 요청이 발생하는 장소에서 사용하는 무선 라우터나 모뎀을 조사한 결과, 페이스북 및 유튜브 사이트를 방문하는 경우에만 DNS Query시 악성 DNS 서버의 주소로 리다이렉트가 수행된다.

공격자들에 의해 조작된 Primary DNS 서버 주소는 페이스북 및 유투브 사이트 접속시에만 리다이렉트를 수행하기 때문에 그 외의 사이트는 Secondary DNS 서버 주소인 구글의 free DNS 서버를 통해 정상 접속하는 것으로 드러났다.

이번에 발견된 DNS 서버 주소가 조작된 무선 라우터는 TP-link 사의 TD-W8951ND 모델로 밝혀졌다. 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처 내용을 참조하면 된다.  

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/when-networks-turn-hostile/
2. http://about-threats.trendmicro.com/us/malware/TSPY_FAREIT
3. http://blog.trendmicro.com/trendlabs-security-intelligence/wi-fi-on-the-go-how-safe-is-it/

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>