Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 18일] 주요 보안 이슈
작성일 2019-02-18 조회 747

1. [기사] WARNING – New Phishing Attack That Even Most Vigilant Users Could Fall For
[https://thehackernews.com/2019/02/advance-phishing-login-page.html]
암호 관리 소프트웨어 Myki의 공동창립자 빈센트(Antoine Vincent Jebara)와 그의 팀이 "보안에 신경 쓰는 사용자라도 속아 넘어갈" 새로운 피싱 공격을 발견했다. 빈센트는 공격자들이 블로그나 서비스에 독점 기사를 읽거나 할인된 제품을 구매할 수 있는 링크를 배포하고, 사용자들이 해당 링크를 클릭하면 가짜 "Facebook 계정을 사용하여 로그인" 기능을 먼저 이용하도록 유도하고 있다고 밝혔다. 공격자들은 "Facebook 계정을 사용하여 로그인" 기능이 일반적으로 많이 쓰이는 기능이고 사용자들이 별다른 의심 없이 사용한다는 점에 착안하여 유사한 가짜 팝업을 만든 것으로 보인다. 빈센트는 현재 표시되어 있는 창에서 팝업을 다른 곳으로 끌어보았을 때 팝업의 일부가 브라우저 너머로 사라진다면 가짜 팝업이라며 로그인 전 확인해 볼 것을 당부했다.

 

2. [기사] 18,000 Android Apps Track Users by Violating Advertising ID Policies
[https://www.bleepingcomputer.com/news/security/18-000-android-apps-track-users-by-violating-advertising-id-policies/]
18,000개에 달하는 안드로이드 어플이 구글 플레이스토어의 광고 ID 정책을 위반한 것으로 밝혀졌다. 구글 플레이스토어는 IMEI, WiFi MAC 주소, SIM 카드 일련번호 등 개인을 식별할 수 있는 정보들을 광고 ID와 연결하여 사용하는 것을 금지하고 있다. 광고 ID 외에 재설정이 불가능한 식별자를 이용하는 것은 "광고 ID의 개인 정보를 보호하는 속성"을 제거하기 때문에 문제가 될 수 있기 때문이다. 게다가 구글은 광고 개인화를 거부하려는 사용자를 존중하기 위해 사용자가 선택할 수 있도록 규정하고 있는데, 개발자들은 이 역시 지키지 않은 것으로 드러났다. 사용자가 자신의 광고 환경을 재설정하더라도 기록이 계속해서 남아있는 것이다. 규정을 위반한 어플들 중에는 'Clean Master – Antivirus, Cleaner & Booster', 'Flipboard: News For Our Time', 'My Talking Tom', 'Temple Run 2', 'Angry Birds Classic', 'B612 – Beauty & Filter Camera', 'CamScanner – Phone PDF Creator'와 같이 사용자 수가 많은 유명 어플들도 존재하는 것으로 밝혀졌다.

 

3. [기사] 유출된 소스코드 기반으로 제작된 악성코드 유포 주의
[https://www.dailysecu.com/?mod=news&act=articleView&idxno=45589]
최근 '모바일 전송 메일'로 위장한 악성코드가 유포되고 있다. 공격자는 내용이 없는 메일을 보내 사용자의 궁금증을 자극, 첨부된 xls 파일을 실행하도록 유도한다. 해당 xls 파일은 DDE를 통해 악성코드 설치 파일을 다운로드한다. 백신 검사를 통한 최종 페이로드 탐지를 우회하기 위해 ‘//update365office.com/agp’와 ‘//185.17.123.201/dat3.omg’를 통해 나누어 다운로드가 진행된다. 최종적으로 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행한다. 추가적으로 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작되었다. 이스트시큐리티 측은 "출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 삼가고 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다"고 강조했다.

 

4. [기사] Microsoft removes eight cryptojacking apps from official store
[https://www.zdnet.com/article/microsoft-removes-eight-cryptojacking-apps-from-official-store/]
사용자들 몰래 가상화폐 Monero를 채굴하던 윈도우 10 어플리케이션 8개가 마이크로소프트 스토어에서 삭제되었다. 삭제된 어플들은 'Fast-search Lite', 'Battery Optimizer (Tutorials)', 'VPN Browsers+', 'Downloader for YouTube Videos', 'Clean Master+ (Tutorials)', 'FastTube', 'Findoo Browser 2019', 'Findoo Mobile & Desktop Search'로, 'DigiDream', '1clean', 'Findoo'라는 개발자들이 제작했다. 지난달 해당 악성 어플리케이션들을 발견한 시만텍은 소스 코드와 인접한 도메인에서 발견한 증거를 토대로 분석한 결과, 동일한 사람 또는 그룹에서 제작한 것으로 보인다고 밝혔다. 시만텍이 발견한 어플들의 동작 방식은 다음과 같다. 소스 코드에서 구글 태그 관리자 라이브러리를 로드하고, 후에 실제 악성 페이로드를 다운로드하여 실행한다. 사용자들의 브라우저를 통해 Monero를 몰래 채굴하기 위해 쓰이는 자바스크립트 라이브러리인 Coinhive가 코드의 마지막에 들어가 있다. 시만텍은 마이크로소프트 스토어가 다운로드 수를 집계하지 않기 때문에 정확한 피해를 집계할 수는 없으나, 해당 어플들의 리뷰 수가 수천에 달하는 것으로 보아 꽤나 클 것으로 보인다고 밝혔다.

 

5. [기사] 온라인 데이팅 앱 오케이큐피드에서 치명적 취약점 발견
[https://www.boannews.com/media/view.asp?idx=76985]
온라인 데이팅 앱인 오케이큐피드(OKCupid)에서 치명적인 오류가 발견되었다. 하지만 이 취약점은 얼마 전 오케이큐피드에서 계정 탈취 공격의 흔적이 일부 발견되었던 것과는 관련이 없다. 이번에 발견된 취약점은 익스플로잇 성공 시 공격자들은 앱의 사용 현황을 모니터링하고, 모든 메시지들을 읽을 수 있으며 위치 정보도 추적할 수 있다. 취약점이 존재하는 정확한 위치는 오케이큐피드 안드로이드용 앱의 웹뷰(WebView) 기능으로 밝혀졌다. 오케이큐피드 앱은 특정 URL들을 ‘매직링크(MagicLinks)’로 규정하고 외부 브라우저가 아닌 웹뷰로 해당 페이지를 연다. 문제는 매직링크에 대한 규정이다. “/l/”이라는 문자열이 포함되어 있는 링크면 모두 ‘매직링크’로 인식된다. 즉 공격자가 앱 사용자에게 “/l/”이라는 문자열이 있는 URL을 보내면 외부 브라우저가 아니라 웹뷰로 열리도록 만들 수 있다. “사용자들은 특정 앱의 내부 기능을 통해 전달되는 링크들에 대해서는 신뢰하는 성향이 있습니다. 그러므로 자체 메시징 기능이 있는 앱을 사용하는 사람들은, 자체 메시지 기능을 통한 링크 전달도 의심을 해봐야 합니다.”라고 해당 취약점을 발견한 체크막스의 연구원은 말한다. 오케이큐피드는 1월 4일에 픽스를 발표했다.

첨부파일 첨부파일이 없습니다.
태그