2017년 12월 12일(화)
유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 FinFisher 스파이웨어를 대체하는 StrongPity2 스파이웨어가 발견되어 주의를 요한다고 전했다.
인터넷 서비스 제공 업체(ISP)가 관련된 것으로 추정되며, FinSpy 로도 불리는 악명 높은 스파이웨어인 FinFisher 악성코드가 다른 스파이웨어로 대체된 것으로 알려졌다. ESET 제품에 의해 Win32/StrongPity2 로 탐지되는 이 새로운 스파이웨어는 StrongPity 라는 그룹의 스파이웨어와 매우 유사하다.
지난 9 월 ESET 이 보고한 바에 따르면, 일부 국가에서 발견된 중간자(MitM: Man-in-the-Middle) 공격이 FinFisher 스파이웨어를 확산시키는 데 사용되었으며, ISP 수준의 개입이 존재하는 것으로 알려졌다.
최근 유사한 방법의 공격이 다시 발견되었는데, 이전과 동일하게 HTTP 리디렉션 방법이 사용되지만 FinFisher 대신 Win32/StrongPity2 스파이웨어를 배포한다는 점이 다르며, 새로운 스파이웨어가 과거에 StrongPity 그룹이 사용한 악성코드와 유사한 점을 포함하고 있다는 것을 발견했다. 첫 번째 유사점은 공격 시나리오인데, 소프트웨어 설치 패키지 다운로드시 사용자는 트로이 목마가 포함된 소프트웨어 설치 패키지가 등록된 가짜 웹 사이트로 이동하게 되며, 지금까지 발견된 소프트웨어 설치 패키지는 CCleaner v5.34, Driver Booster, Opera Browser, Skype, VLC Media Player v2.2.6 및 WinRAR v5.50 등이다. 또한 Win32/StrongPity2 스파이웨어의 코드 일부가 StrongPity 그룹이 사용한 악성코드와 정확히 동일하고, 동일한 난독화 알고리즘과 파일 추출 방법을 이용하며, 비교적 오래된 버전의 libcurl 7.45 를 사용한다는 공통점이 있다. Win32/StrongPity2 스파이웨어는 다양한 형식의 데이터 파일을 유출하는 동작 뿐만 아니라, 유출된 계정정보를 이용한 추가 악성코드를 다운로드하고 실행할 수도 있다.
이셋코리아의 김남욱 대표는 "적법한 소프트웨어 설치 패키지에 스파이웨어를 포함시킨 후 배포하는 사례가 계속 발견되고 있으며, 더욱 큰 문제는 이들 소프트웨어가 조직적인 감시나 감찰에 이용되고 있다는 점입니다. 널리 사용되는 소프트웨어를 다운로드하는 경우라도 충분히 검증된 보안 제품을 사용하여 악성코드 포함 여부를 검사한 후 사용하는 것이 필요합니다."고 전했다.
'ESET NEWS > NEWS' 카테고리의 다른 글
| ESET, Spectre 및 Meltdown CPU 취약점 완벽 대응 (0) | 2018.06.30 |
|---|---|
| ESET 네트워크 타임즈 1월호 광고 (0) | 2018.06.29 |
| ESET, 전 세계 유관기관과 공조하여 Gamarue 봇넷 퇴치 (0) | 2018.06.29 |
| ESET, Google Play를 통해 배포되는 안드로이드용 다단계 악성코드에 주의 요망 (0) | 2018.06.28 |
| ESET, 구글 검색 최상위에 등록된 가짜 Windows Movie Maker 다운로 드에 주의 경고 (0) | 2018.06.28 |
이셋코리아
Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.