HOME > NEWS > Network Trends

 

 

 


 


구글 클라우드 통해 퍼지는 스파이 뱅킹 트로이목마

Admin 2016.08.24
페이스북에 떠돌던 악성 링크, 브라질에서부터 확산

[보안뉴스 주소형] 브라질에서 스파이 뱅킹 트로이목마가 퍼지고 있다. 이렇게 확산되고 있는 데는 구글과 페이스북의 역할이 크다고 지스케일러 쓰레트랩Z(Zscaler ThreatLabZ) 연구원들이 밝혔다.


해당 멀웨어는 구글 클라우드 서버를 통해 다운로드 되는데 이는 결국 사용자들의 기기에 스파이 뱅킹 트로이목마 틸렉스(Telex)를 설치한다고 설명했다.

사용자가 악성 링크를 클릭하여 해당 사이트에 접속하는 것만으로도 감염되는 DBD(Drive-by Download) 방식을 통해 번지고 있는데 거의 모든 이번 사건의 피해자들이 페이스북에 포스팅 되어 있는 악성링크를 클릭하면서 감염된 것으로 파악됐다. 무료 소프트웨어 및 쿠폰 등으로 가장한 악성링크였는데 위장한 무료 소프트웨어 가운데 보안기업인 어베스트(Avast)의 안티바이러스 솔루션도 포함되어 있었다.

트로이목마는 정보 탈취 기능을 갖추고 있다. 사용자들이 스스로 기기의 환경을 점검해 주어야 한다. 그렇지 않으면 한 번 침투한 트로이목마는 사용자들의 기기에서 안티바이러스 솔루션에 대한 정보까지 훔쳐 자신들의 C&C 서버에 보내 추후 악용할 수 있다. 이들은 32비트 루트킷과 64비트 루트킷 모두 보유하고 있다.

구글이 공격자들의 공격 창구로 악용된 것은 이번이 처음이 아니다. 지난 7월에도 구글 계정 이메일인 지메일(gmail)을 통해 구글 드라이브에서 피싱 캠페인이 펼쳐진 정황이 연구원들에 의해 발견됐다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(globoan@boannews.com)]


출처 | http://www.boannews.com/media/view.asp?idx=48866&kind=4&search=title&find=zscaler


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


Maximum Attachments : 0Byte/ 2.00MB
Maximum File Size : 2.00MB (Allowed extentsions : *.*)