ESET, FinFisher를 대체하는 StrongPity2 스파이웨어 발견...주의 요망

[보안뉴스 원병철 기자] FinFisher 스파이웨어를 대체하는 StrongPity2 스파이웨어가 발견되어 주의를 요하고 있다. 유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아(대표 김남욱, www.estc.co.kr)는 ‘FinSpy’로도 불리는 악명 높은 스파이웨어인 ‘FinFisher’ 악성코드가 다른 스파이웨어로 대체된 것으로 보인다고 밝혔다.


ESET 제품에 의해 ‘Win32/StrongPity2’로 탐지되는 이 새로운 스파이웨어는 StrongPity 라는 그룹의 스파이웨어와 매우 유사하다. 지난 9월 ESET이 보고한 바에 따르면, 일부 국가에서 발견된 중간자(MitM, Man-in-the-Middle) 공격이 FinFisher 스파이웨어를 확산시키는 데 사용되었으며, ISP 수준의 개입이 존재하는 것으로 알려졌다.

최근 유사한 방법의 공격이 다시 발견되었는데, 이전과 동일하게 HTTP 리디렉션 방법이 사용되지만 FinFisher 대신 Win32/StrongPity2 스파이웨어를 배포한다는 점이 다르며, 새로운 스파이웨어가 과거에 StrongPity 그룹이 사용한 악성코드와 유사한 점을 포함하고 있다는 것을 발견했다.

첫 번째 유사점은 공격 시나리오인데, 소프트웨어 설치 패키지 다운로드시 사용자는 트로이 목마가 포함된 소프트웨어 설치 패키지가 등록된 가짜 웹 사이트로 이동하게 되며, 지금까지 발견된 소프트웨어 설치 패키지는 CCleaner v5.34, Driver Booster, Opera Browser, Skype, VLC Media Player v2.2.6 및 WinRAR v5.50 등이다.

또한 Win32/StrongPity2 스파이웨어의 코드 일부가 StrongPity 그룹이 사용한 악성코드와 정확히 동일하고, 동일한 난독화 알고리즘과 파일 추출 방법을 이용하며, 비교적 오래된 버전의 libcurl 7.45를 사용한다는 공통점이 있다. Win32/StrongPity2 스파이웨어는 다양한 형식의 데이터 파일을 유출하는 동작뿐만 아니라, 유출된 계정정보를 이용한 추가 악성코드를 다운로드하고 실행할 수도 있다.

이셋코리아의 김남욱 대표는 “적법한 소프트웨어 설치 패키지에 스파이웨어를 포함시킨 후 배포하는 사례가 계속 발견되고 있으며, 더욱 큰 문제는 이들 소프트웨어가 조직적인 감시나 감찰에 이용되고 있다”면서, “널리 사용되는 소프트웨어를 다운로드하는 경우라도 충분히 검증된 보안 제품을 사용하여 악성코드 포함 여부를 검사한 후 사용하는 것이 필요하다”고 전했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>