사진들을 애니메이션 캐릭터로 변형시키는 앱의 제로데이 익스플로잇
크리덴셜 가로채고, 시스템 내 오래 머물기 위해 사용자 차단하기도

[보안뉴스 문가용 기자] 제로데이 취약점을 익스플로잇 하는 멀웨어가 세계 100여개 나라에서 발견됐다. 사용자 수로만 보면 이미 10만여 명이 감염됐다고 한다. 특이할 만한 건 이 멀웨어가 크리덴셜을 탈취하고, 암호화폐를 채굴하기도 하며, 클릭 사기 공격을 하기도 한다는 것이다.


이 멀웨어의 이름은 나이젤쏜(NigelThorn)으로, 구글 크롬용 확장 프로그램인 나이젤리파이(Nigelify)를 어뷰징한다. 정상 확장 프로그램을 복사하고 난독화가 된 악성 스크립트를 주입함으로써 구글의 확장 프로그램 인증 절차를 통과한다고 한다. 이는 보안 업체 라드웨어(Radware)가 5월 10일자로 발표한 경고 내용이다.

원래의 나이젤리파이 앱의 기능은 이미지들을 전부 나이젤 쏜베리(Nigel Thornberry)라는 애니메이션 등장인물의 그림으로 바꿔놓는 것이다. 그래서 이 멀웨어를 나이젤쏜이라고 불렀다고 한다.

이 나이젤리파이를 흉내 낸 멀웨어인 나이젤쏜은 페이스북과 같은 SNS 내에서 악성 링크를 타고 감염자 수를 늘려나가고 있다. 이 링크를 클릭하면 가짜 유튜브 페이지로 연결이 되는데, 이 때 영상을 보고 싶다면 크롬 확장 프로그램을 설치해야 한다는 안내가 뜬다.

이 시점에서 사용자가 ‘확인’ 혹은 ‘확장 프로그램 설치’를 클릭하면, Bitly 서비스로 단축된 URL로 연결이 된다. 이는 페이스북으로 다시 연결되는데, 여기서 사용자에게 페이스북에 다시 로그인 하라는 요청이 뜬다. 당연히 사용자의 페이스북 크리덴셜을 얻어내기 위한 것이다.

사용자가 이 멀웨어를 발견하고 삭제하려고 하면 나이젤쏜은 확장 탭을 스스로 닫는다. 그럼으로써 시스템 내 최대한 오래 머무를 기반을 마련하는 것이다. 또한 C&C 서버로부터 URI 레젝스(URI Regex)를 다운로드 받아, 사용자의 접근 시도를 차단하기도 한다.

나이젤쏜 공격자들은 최소 2018년 3월부터 활동을 시작한 것으로 보인다. 또한 100여 개국에서 발견됐는데, 주로 필리핀, 베네수엘라, 에코도르에 피해가 집중되고 있다. 전체 피해의 75%가 이 세 나라에서 발견됐다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>