2013.05.28

새로운 악성코드 표적 '티파니, 티베트, iOS'

John P. Mello Jr. | IDG News Service
최근 악성코드 작성자들이 티파니와 티베트 활동가, 맥컴퓨터, 안드로이드폰을 표적으로 삼는 것으로 나타났다.

특히 지난 주 주얼리 회사인 티파니(Tiffany & Co.)를 사칭하는 스팸메일이 받은편지함에 등장하기 시작했다.

보안 업체인 소포스(Sophos)가 발견한 메시지에는 ‘회사가 이미 돈을 냈으니 이 내역을 확인하려면, 첨부 파일을 열라’는 내용이 적혀 있었다.

첨부 파일에는 악성코드/브로도Zp-B 트로이 목마가 들어 있다. 악성코드는 컴퓨터에 백도어를 설치하고 사용자의 이름과 암호를 모두 훔쳐간다.

악성코드, 목표물에 더 가까이
티파니 사기는 일반 사람들을 대상으로 하며 여기에는 윈32/신디캐세크(Win32/Syndicasec)라는 악성 프로그램이 사용됐다. 반면 티베트 활동가들을 표적으로 삼는 공격은 매우 구체적이다.

보안 업체인 이세트(Eset)의 분석에 따르면, 악성코드는 네팔과 중국에서 제한적으로 감염시키고 있으며 2012년부터 시작됐다.

티파니 악성코드와 마찬가지로, 티베트의 악성 애플리케이션은 감염된 기기에 백도어를 설치하며 공격자들은 컴퓨터에 명령을 실행하는데 이 감염된 기기를 사용한다. 이세트는 악성코드 배포자의 목적을 정확히 파악할 수 없었지만 티베트 활동가에 대한 다른 첩보 활동과 비슷한 위협이라고 지적했다.

애플 기기들을 표적으로 삼은 악성코드들
한편, 보안 연구원들은 애플의 OS X 운영체제를 겨냥한 스파이웨어 프로그램의 샘플들을 더 많이 찾아냈다.

KitM, 쿠마, 핵랙(HackBack) 등 다양한 이름을 가진 악성코드는 사이버범죄자들이 운영하는 커맨드앤컨트롤 서버로 숨어 들어가 감염시킨 기기들의 스크린샷을 캡처한 다른 백도어 프로그램이다. 이 악성코드는 감염된 기기에 명령을 실행하도록 할 수 있다.

보안 업체 F-시큐어에 따르면, 악성코드의 최근 샘플의 날짜는 2012년 12월로 거슬로 올라가며 크리스마스 카드에 사용됐다.

어떤 악성코드의 변종에 대한 놀라운 사실은 OS X의 게이트키퍼 보안 서브 시스템에서 신뢰할 수 있도록 하는 유효한 애플 개발자 ID로 로그인 했다는 점이다.

악성코드는 맥 앱 스토어에서 소프트웨어가 컴퓨터에 설치될 수 있도록 OS X의 보안 설정을 변경하거나 방해 할 수 있다.

안드로이드에 대한 공격
안드로이드 진영은 지난 주 ‘Android.Pincer.2.origin’이라는 새로운 악성 프로그램의 등장으로 고군분투했다. 이 악성 프로그램은 러시아어 보안 업체인 닥터웹(Dr. Web)이 발견했다.

트로이 목마가 하는 것은 SMS 메시지를 가로채거나 범죄자들이 운영하는 서버로 전달하는 것이다. 온라인 인증의 증가 추세로 사용자의 로그인을 휴대전화 SMS 메시지로 전송한 코드로 확인하게 됐다. 이러한 메시지는 계정에 대한 무단 접근을 막아준다.

그러나 안드로이드 사용자가 주의한다면, 악성코드를 방지 할 수 있다. 그것은 가짜 보안 사기를 통해 확산되기 때문이다. 즉, 악성코드는 소유자가 안드로이드 기기에 수동으로 설치해야 한다는 뜻이다.

그러나 안드로이드 사용자가 주의한다면, 악성코드를 방지 할 수 있다. 그것은 가짜 보안 사기를 통해 확산되기 때문이다. 즉, 악성코드는 소유자가 안드로이드 기기에 수동으로 설치해야 한다는 뜻이다.

또한, 대부분의 안드로이드 사용자가 자신의 앱을 다운로드하는 구글 플레이에서는 악성코드가 발견되지 않았다고 넥스트웹(NextWeb)은 보고했다.

"최대한 많은 사용자를 표적으로 삼는 게 아니라 정확하게 특정 사용자를 공격하는 것으로 보인다"라고 넥스트웹은 밝혔다. ciokr@idg.co.kr



2013.05.28

새로운 악성코드 표적 '티파니, 티베트, iOS'

John P. Mello Jr. | IDG News Service
최근 악성코드 작성자들이 티파니와 티베트 활동가, 맥컴퓨터, 안드로이드폰을 표적으로 삼는 것으로 나타났다.

특히 지난 주 주얼리 회사인 티파니(Tiffany & Co.)를 사칭하는 스팸메일이 받은편지함에 등장하기 시작했다.

보안 업체인 소포스(Sophos)가 발견한 메시지에는 ‘회사가 이미 돈을 냈으니 이 내역을 확인하려면, 첨부 파일을 열라’는 내용이 적혀 있었다.

첨부 파일에는 악성코드/브로도Zp-B 트로이 목마가 들어 있다. 악성코드는 컴퓨터에 백도어를 설치하고 사용자의 이름과 암호를 모두 훔쳐간다.

악성코드, 목표물에 더 가까이
티파니 사기는 일반 사람들을 대상으로 하며 여기에는 윈32/신디캐세크(Win32/Syndicasec)라는 악성 프로그램이 사용됐다. 반면 티베트 활동가들을 표적으로 삼는 공격은 매우 구체적이다.

보안 업체인 이세트(Eset)의 분석에 따르면, 악성코드는 네팔과 중국에서 제한적으로 감염시키고 있으며 2012년부터 시작됐다.

티파니 악성코드와 마찬가지로, 티베트의 악성 애플리케이션은 감염된 기기에 백도어를 설치하며 공격자들은 컴퓨터에 명령을 실행하는데 이 감염된 기기를 사용한다. 이세트는 악성코드 배포자의 목적을 정확히 파악할 수 없었지만 티베트 활동가에 대한 다른 첩보 활동과 비슷한 위협이라고 지적했다.

애플 기기들을 표적으로 삼은 악성코드들
한편, 보안 연구원들은 애플의 OS X 운영체제를 겨냥한 스파이웨어 프로그램의 샘플들을 더 많이 찾아냈다.

KitM, 쿠마, 핵랙(HackBack) 등 다양한 이름을 가진 악성코드는 사이버범죄자들이 운영하는 커맨드앤컨트롤 서버로 숨어 들어가 감염시킨 기기들의 스크린샷을 캡처한 다른 백도어 프로그램이다. 이 악성코드는 감염된 기기에 명령을 실행하도록 할 수 있다.

보안 업체 F-시큐어에 따르면, 악성코드의 최근 샘플의 날짜는 2012년 12월로 거슬로 올라가며 크리스마스 카드에 사용됐다.

어떤 악성코드의 변종에 대한 놀라운 사실은 OS X의 게이트키퍼 보안 서브 시스템에서 신뢰할 수 있도록 하는 유효한 애플 개발자 ID로 로그인 했다는 점이다.

악성코드는 맥 앱 스토어에서 소프트웨어가 컴퓨터에 설치될 수 있도록 OS X의 보안 설정을 변경하거나 방해 할 수 있다.

안드로이드에 대한 공격
안드로이드 진영은 지난 주 ‘Android.Pincer.2.origin’이라는 새로운 악성 프로그램의 등장으로 고군분투했다. 이 악성 프로그램은 러시아어 보안 업체인 닥터웹(Dr. Web)이 발견했다.

트로이 목마가 하는 것은 SMS 메시지를 가로채거나 범죄자들이 운영하는 서버로 전달하는 것이다. 온라인 인증의 증가 추세로 사용자의 로그인을 휴대전화 SMS 메시지로 전송한 코드로 확인하게 됐다. 이러한 메시지는 계정에 대한 무단 접근을 막아준다.

그러나 안드로이드 사용자가 주의한다면, 악성코드를 방지 할 수 있다. 그것은 가짜 보안 사기를 통해 확산되기 때문이다. 즉, 악성코드는 소유자가 안드로이드 기기에 수동으로 설치해야 한다는 뜻이다.

그러나 안드로이드 사용자가 주의한다면, 악성코드를 방지 할 수 있다. 그것은 가짜 보안 사기를 통해 확산되기 때문이다. 즉, 악성코드는 소유자가 안드로이드 기기에 수동으로 설치해야 한다는 뜻이다.

또한, 대부분의 안드로이드 사용자가 자신의 앱을 다운로드하는 구글 플레이에서는 악성코드가 발견되지 않았다고 넥스트웹(NextWeb)은 보고했다.

"최대한 많은 사용자를 표적으로 삼는 게 아니라 정확하게 특정 사용자를 공격하는 것으로 보인다"라고 넥스트웹은 밝혔다. ciokr@idg.co.kr

X