• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

크롬 엑스텐션 파섹스웜, 채굴도 하고 크리덴셜도 훔치고 2018.05.02

페이스북 메신저 통해 퍼지고 있는 가짜 유튜브 페이지 링크
코인하이브의 채굴 코드와 비슷한 자바스크립트 받아 채굴

[보안뉴스 문가용 기자] 악성 크롬 확장 프로그램인 파섹스웜(FacexWorm)이 최근 다시 활동하기 시작했다. 페이스북 메신저(Facebook Messenger)를 통해 퍼지며, 이전과 다르게 암호화폐 거래 플랫폼을 주로 노린다고 한다. 보안 업체 트렌드 마이크로(Trend Micro)가 밝혀낸 것으로, 최근 이에 대한 상세한 내용이 발표되기도 했다.

[이미지 = iclickart]


파섹스가 세상에 공개된 것은 2017년 8월의 일이다. 그러고는 사라졌다가 올해 4월 다시 나타나기 시작했는데, 독일, 튀니지, 일본, 대만, 대한민국, 스페인에서 특히 활동이 왕성하다고 한다. 8월에 등장했던 첫 번째 버전처럼 이번 파섹스도 페이스북 사용자들 사이에서 소셜 엔지니어링 기법을 통해 빠르게 번져나가고 있다.

하지만 이전 버전과 차이점이 있다. 파섹스웜이 표적으로 삼은 사이트들과 관련된 계정과 크리덴셜을 훔친다는 것이다. 그리고 일반 사용자들을 특정 웹사이트들로 유혹한다. 그 웹사이트들에 사용자가 방문하면 암호화폐 채굴 코드를 주입하고, 공격자들의 추천 링크로 우회시킨다. 대부분 암호화폐와 관련된 프로그램들이 소개된 사이트들이다. 그리고 거래소 플랫폼에서 받는 사람의 주소를 공격자의 것으로 바꿔치기 해서 돈을 번다.

공격자들은 또한 해당 사이트로 피해자들을 우회시킴으로서 추천 인센티브를 받는다. 물론 피해자가 계정을 만들고 사이트에 등록을 해야만 인센티브가 발생하긴 하는데, 대부분 암호화폐에 관심이 깊은 사람들이 이 술수에 걸려들기 때문에 계정을 만드는 데에까지 성공한다고 한다. Binance, DigitalOcean, FreeBitco.in, Freedoge.co.in, HashFlare 등이 주로 연계되어 있다.

파섹스웜은 페이스북 링크를 타고 설치되는 것이 보통이다. 링크를 클릭한 사람은 가짜 유튜브 페이지로 안내되는데, 거기서 특정 코덱 확장 프로그램을 설치하라는 안내를 받는다. 물론 진짜로 설치되는 건 파섹스웜이다. 설치 전에는 사이트의 데이터에 접근하거나 편집할 수 있는 권한을 요청한다.

사용자가 이를 허락하면 파섹스웜은 악성 코드를 C&C 서버로부터 다운로드 받는다. 그리고 페이스북 웹사이트를 열고 전파(propagation) 기능이 활성화 되어 있는지 확인한다. 활성화 되어 있으면 페이스북으로부터 오오스(OAuth) 토큰을 요청하고, 계정의 친구 목록을 확보한다. 온라인 상태인 친구 혹은 자리비움 상태인 친구에게는 위의 가짜 유튜브 링크를 보낸다.

“파섹스웜은 평범한 크롬 확장 프로그램을 복제한 것으로 기본 구성이 되어 있지만 짧은 악성 코드가 주입되어 있습니다. 이 짧은 코드 안에 파섹스웜의 가장 중요한 기능들이 포함되어 있지요.” 트렌드 마이크로의 사기 분석가인 조셉 첸(Joseph Chen)의 설명이다. “또한 브라우저가 실행될 때면 C&C 서버로부터 더 많은 코드를 다운로드 받습니다.”

피해자가 브라우저에서 새로운 웹 페이지를 열 때마다 파섹스웜은 C&C 서버에 요청을 전송한다. 또 다른 자바스크립트 코드를 받기 위함인데, 이 코드는 깃허브의 저장소에 호스팅되어 있다. “이 자바스크립트 코드가 바로 채굴 코드인데, 코인하이브(Coinhive)의 원래 코드를 조작 및 변경시킨 것입니다. 또한 피해자의 시스템 20%만 사용하도록 설정이 되어 있습니다.”

채굴 외에도 여러 계정의 크리덴셜을 훔치는 시도도 하는 파섹스웜은 현재 약 52개 암호화폐 관련 플랫폼들을 공격한 상태다. 이 플랫폼들 중에서 누군가 거래를 시도하면(블록체인이나 이더리움과 같은 키워드를 탐지하도록 되어 있다) 사용자를 다른 가짜 페이지로 우회시킨다. 그리고 중간에서 거래를 가로챈다.

현재까지 밝혀진 바로 파섹스웜은 크롬에서만 작동한다. 다른 브라우저를 사용할 경우 광고 페이지로 이동시키는 것이 전부다. 또한 딱 한 건의 비트코인 거래만이 파섹스웜에 의해 가로채기를 당했다고 트렌드 마이크로는 밝히고 있다. 하지만 아직 파섹스웜 공격자들의 총 수입이 어느 정도인지는 가늠하기 어렵다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>