소셜댓글 서비스 통한 대규모 악성코드 유포 주의

아주경제 장윤정 기자 = 하우리(대표 김희천)는 최근 언론사, 대기업, 정부기관, 쇼핑몰 등 국내 약 1만 5,000여개 이상의 웹사이트와 연동된 소셜댓글 서비스를 통해 악성코드가 유포돼 주의가 필요하다고 9일 밝혔다.

해당 악성코드는 소셜댓글 서비스와 연동된 웹사이트를 방문할 경우 소셜댓글 서비스의 특정 라이브러리가 호출될 때, 해커에 의해 변조된 응답 서버로부터 악성코드가 위치한 사이트로 리다이렉트되는 응답을 받아 최신 플래시 취약점을 이용, 감염된다.

감염된 악성코드는 사용자 PC에 설치된 백신을 삭제하고 C&C 서버로 감염된 정보를 전송하며 대규모 봇넷을 형성한다.

또한 C&C 서버로부터 암호화된 명령을 수신 받아 추가적인 악성코드를 다운로드하고 실행한다. 백신이 성공적으로 삭제된 사용자들의 경우는 추가적인 보안 위협에 노출되게 된다.

감염된 사용자는 백신이 삭제되었을 경우 재설치를 진행하고, 추가적인 감염을 예방하기 위해 어도비 플래시 플레이어를 최신버전으로 업데이트해야 한다. 또한 '바이로봇 APT 쉴드'와 같은 무료 취약점 공격 사전차단 솔루션을 설치하면 플래시 취약점 공격을 사전차단할 수 있다.

최상명 하우리 차세대보안연구센터장은 “올해 들어 관제 상황 중 가장 영향력 있는 대규모 악성코드 유포 상황이다.”라며, “해당 소셜댓글 서비스가 국내에 유명한 많은 웹사이트와 연동돼 있는 만큼 현재 많은 사용자들이 해당 악성코드에 감염되었을 것으로 추정된다.”라고 밝혔다.
 

소셜댓글 서비스를 통해 악성코드 사이트로 리다이렉트되는 패킷[사진 = 하우리 ]