침해사고/위협동향

이셋, 광고배너 통해 악성코드 전파 ‘스테가노 익스플로잇’ 주의

디지털데일리 발행일 2016-12-08 16:17:19
최민지

[디지털데일리 최민지기자] 이셋코리아(http://www.estc.co.kr 대표 김남욱)는 유명 웹사이트에 악의적인 광고를 통해 악성코드를 전파할 수 있는 새로운 ‘스테가노(Stegano) 익스플로잇 킷’을 발견했다고 8일 밝혔다.

이셋 연구진에 따르면 지난 10월 초부터 인터넷 익스플로러 사용자를 대상으로 하는 어도비 플래시 플레이어 취약점을 이용한 공격이 감지됐으며, 다양한 유형의 악성코드를 다운로드하고 실행하려는 시도가 있었다.

피해자의 컴퓨터에 악성코드를 원격 설치하기 위해 광고 배너를 이용하는데, 게시된 악성의 광고 배너를 클릭할 필요 없이 해당 웹 사이트를 방문하는 것만으로도 악성코드가 설치되며 취약한 버전의 플래시 플레이어를 이용한다.

이후 공격자는 자신이 선택한 악성코드를 다운로드하고 실행하는데 필요한 모든 조건을 갖추게 된다. 금융정보 유출을 위한 트로이 목마, 백도어와 스파이웨어 등이 다운로드되며 추후 랜섬웨어 감염 등으로 이어질 수도 있다.

스테가노는 스테가노그래피에서 파생된 말인데, 공격자가 광고 배너의 픽셀에 악성코드의 일부를 숨기는 기법이다. 배너 이미지의 각 픽셀 투명도를 제어하는 매개 변수에 코드를 숨긴다. 이렇게 처리된 이미지는 색깔이나 명암이 약간 변경되기 때문에 정상적인 배너와 악성 배너의 차이를 육안으로 구분이 어렵다.

특히, 스테가노 익스플로잇 킷은 샌드박스에서의 실행 여부와 보안 소프트웨어의 실행 여부를 확인한 후 정상 배너와 악성 배너를 선택적으로 게시함으로써 은닉성과 감염 가능성을 배가시킨다. 공격자는 광고 플랫폼에서 악성 콘텐츠를 발견하고 차단하도록 설계된 여러 대응책을 우회할 수 있었으며, 합법적인 웹사이트를 통해 수백만 명의 잠재적인 피해자를 만들어 낼 수 있었다.

김남욱 이셋코리아 대표는 “최근 2개월 동안 전세계적으로 인기 있는 여러 웹 사이트를 통해 매일 수백만의 사용자가 스테가노 익스플로잇 킷을 이용한 악성 광고에 노출됐다”며 “이 중 다수가 악성코드에 감염된 것으로 추정된다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스