한 언론 매체에 의해 곰TV 글로벌 페이지의 외부 해킹 가능성이 보도되었습니다. 이와 같은 보도에 곰TV는 외부 공격이 이루어졌음을 인정하고 보안에 더욱 신경쓰겠다는 내용입니다. 

곰TV 글로벌 페이지와 우리 한국인이 사용하는 페이지와는 다른 페이지 입니다. 의도적으로 가입한 경우가 아니라면 한국 이용자들은 무관하지만, 해외 이용자들의 곰TV 계정 정보가 유출되었다고 합니다. 

신용정보는 문제가 없다고 하니 다행이겠지만, 곰TV 결제 이용자들의 계정 노출은 심각한 문제로 부각될 듯 싶습니다. 한국 이용자 영향이 없다보니 메인 기사화 되지 않은 것 같은데, 만약 한국 페이지마저도 같은 취약점이 있다면 엄청난 문제로 인식되겠지요?

'Security News (A:\) > A:\> Korean News' 카테고리의 다른 글

中, 상반기 인터넷·스마트폰 바이러스 및 피싱사이트 증가  (0) 2011.08.18
AV백신 눈 뜬 장님 만드는 취약점 발견...업계 비상  (0) 2011.08.17
美 해킹그룹 ‘룰즈섹’, 한국 노리나...룰즈섹코리아 등장!  (1) 2011.08.03
난독화 악성코드 유포 급증...그 대책은?  (0) 2011.07.26
스마트폰 와이파이 자동접속, 해킹된 와이파이도 자동접속  (0) 2011.07.20

Bing ad serves malware to would-be Google Chrome switchers

The criminal gangs that specialize in malware love search engines, because they represent an ideal vector for getting Windows users to click on links that lead to potentially dangerous Trojans. The latest attack targets ads, and the social engineering is frighteningly good. 
 
말웨어를 다루는 범죄조직들은 검색엔진을 좋아한다. 잠재적으로는 위험한 트로이목마로 연결된 링크를 윈도우 유저가 클릭할 수 있도록 하는 이상적인 방법이기 때문입니다. 최근 공격은 사회공학 기법에 알맞은 광고를 목표로 삼고 있다.   


Update: The same gang is responsible for a wave of new ads that lead to malware. See Bing ad leads to more malware; new Mac Trojan in the wild.

흐름에 발 맞춘 말웨어 광고들. 새로운 맥 OS 트로이목마 같은 말웨어를 유도하는 Bing의 광고를 보아라!

Can you trust your favorite search engine? Don’t answer too quickly.
가장 좋아하는 검색엔진을 믿고 있는가? 섣불리 판단하지 말아라 


Earlier this year, Google was under siege by a gang of Russian criminals. The bad guys hijacked search results (especially for images) and used scripts to redirect Windows and Mac users to sites that tried to scare them into installing fake antivirus software.
이번년도 최근에 구글은 러시아 범죄자들의 갱으로 부터 포위됬다. 검색결과를 악용하고 가짜백신 프로그램을 설치하도록 윈도우와 맥 OS 유저를 겁주기 위한 사이트로 연결되는 스크립트를 구현하였다

 
Google eventually cleaned up the mess, and Russian authorities helped their cause immensely byarresting the ringleader.
구글은 이 페이지들을 정리하였고, 러시아 정부관계자들도 책임자로써 원인파악에 도움을 주었다. 

 

But that doesn’t mean it’s safe to relax yet. This week I’m watching a new wave of attacks that are using web advertising and social engineering to deliver Windows-based malware. The payload looks like legitimate software, but it’s actually a malicious downloader .

하지만 이것은 안전하다를 의미하는 것이 아니다. 이번주 윈도우 기반 말웨어를 배포하는 사회공학기법과 웹 광고를 이용한 새로운 공격형태를 보고있다. 마치 합법적인 프로그램처럼 보이지만 사실 악성 다운로더이다.

 
 

Today’s example is from Bing, which may have a fraction of Google’s search traffic but still has attracted the attention of cybercriminals.
이번 예시는 구글의 검색에 버금가는 정보율을 보이고 있지만 여전히 범죄자들의 표적이 되고 있는 Bing을 사용할 것이다. 

 

Earlier today I visited Bing and searched for google chrome. The results were accompanied by a handful of ads in prominent positions at the top and along the right side. Nothing unusual about that, except for two nearly identical ads that appeared side-by-side at the top of the list. Here’s what they looked like (I’ve obscured the URL names to make the test tougher).

오늘 일찍, 나는 BIng을 접속해 "Google Chrome(구글 크롬)" 을 검색하였다. 오른쪽과 위쪽 눈에 딸 띄는 위치에 유용한 광고들이 결과에 같이 표시되었다. 리스트 상단과 옆에 나타난 두 광고들을 제외하고는 유용하지 않은 것은 없었다. 여기 무엇을 표현하는지 나타나 있다. (URL 이름은 가렸다)


 
 

One of those ads was legitimate, and the other led to a malware attack. Can you tell which was which?
이 광고중 하나는 합법적이고, 하나는 말웨어 공격으로 연결된다. 무엇이 무엇인지 말할 수 있을까? 

Here’s the landing page for the first ad:
첫 광고에 연결된 페이지: 


And here’s where clicking the second ad led:
이것은 두번째 광고를 클릭했을 때 연결된 페이지: 
 

If you look closely enough, you can probably figure out that the first site is Google’s legitimate Chrome download page and the second one is fake, but the differences are subtle. A nontechnical observer would have a very difficult time figuring out that one of those big blue Download Google Chrome buttons is the real deal and one is fake.

가장 친근하게 보이는 것이라면 첫 번째 사이트가 구글의 합법적인 크롬 다운로드 페이지이고 두번째는 가짜라 생각할 것이지만, 두 페이지간에 차이점을 찾기 힘들다. 비전문가 입장에서는 큰 파란색 다운로드 버튼이 진짜이고 나마자는 가짜라는 것을 판단하기 어려웠을 것이다.


The path from my web browser to the malicious software was a convoluted one.  
웹 브라우저로 부터 악성 프로그램까지의 이동 경로는 복잡하다. 

 

The landing page for the fake site is served from a domain called iDownloadster.info, which has been built for deception. The domain was registered with GoDaddy four days ago, and the ad is hosted at a Ukrainian site called Goodnet. The download link leads to a separate domain, dl-byte.com, which was registered seven days ago and is hosted on a server that is infested with malware, porn, and fake pharmaceutical sites, most of it located in Russia.

가짜 사이트로 이동하는 페이지는 iDownloadster.info 이다. 도메인은 GoDaDDy에 4년간 등록되었으며 광고는 Goodnet으로 불리는 우크라이나 사이트가 주인이였다. 다운로드 링크는 전혀 다른 도메인이였고 도메인은 dlbyte.com으로 7년간 등록되었으며, 말웨어, 음란물, 가짜약으로 악용된 곳이였다. 이런 사이트는 대부분 러시아에 위치한다.


But there’s no way to know any of that if you simply click the link and download the software.
하지만, 직접 프로그램을 다운받는 방법외에는 사전에 이런 사이트를 알 수 있는 방법이 없다.

 

When I sent the fake download to VirusTotal for analysis, it was detected by only a handful of antivirus engines. Microsoft Security Essentials missed this threat initially, but a definition update a couple hours later identified the downloaded file as Rogue:Win32/FakeRean. This family of fake antivirus software goes by dozens of names in the wild: Win 7 Internet Security 2011 and Total Win 7 Security, among others.

바이러스 토탈에 가짜 다운로드 프로그램을 전송하니, 몇 안되는 백신엔진에서만 바이러스를 감지하였다. MSE는 초기에는 진단하지 못했으나, 두시간 이후 Rogue:Win32/FakeRean 라는 이름으로 진단하도록 업데이트 되었다. Win7 Internet Security 2011, Total Win7 Security 등등 가짜 백신들은 이름도 다양하다.


That lag between the time I downloaded the file and when it was identified is a perfect illustration of the phenomenon I wrote about last week in Why malware networks are beating antivirus software. But that doesn’t mean I was a sitting duck. In fact, all of my main Windows PCs stopped this potential infection in its tracks, using security layers that don’t depend on definition files.

내가 파일을 받을 시점과 내가 저번주에 작성한 "말웨어 네트워크는 왜 백신을 노릴까" 에 적었던 현상이 나타난다는 것을 파악하고 있는 사이에 링크는 사라졌지만, 내가 알아채지 못했음을 의미하는 것이 아니다. 사실 나의 윈도우 PC들은 모두 파일에 의존하지 않는 보안이라던가 말웨어에 감염되어 있지 않다. 

 
 

In my next post, I’ll offer a detailed look at how those antivirus alternatives work and why they represent the future of online security.

나의 다음 기사는 어떻게 백신이 작동하고 왜 백신이 미래보안을 대표하는 것인지 자세히 알아볼 것이다


 

Update: Five hours after I reported this issue to Microsoft, the fake ad was removed. A Microsoft spokesperson provided the following comment:

MS에 이번 문제를 취재한지 5시간 만에 가짜 광고는 삭제됬고, MS 대변인은 다음과 같은 답변을 하였다.
 

Microsoft has identified the malicious ad and took the appropriate action to remove it. The advertiser also can no longer post ads on Bing. In addition, the site’s URL is no longer available via adCenter. We remain vigilant in protecting consumers, advertisers and our network from fake online insertion orders and continue to directly work with our agency media partners to verify and confirm any suspicious orders.

MS는 악성광고를 확인했고, 삭제조치 하였습니다.  해당 광고주는 더이상 Bing에 광고를 개제할 수 없으며 사이트 URL도 ADCenter 를 통해 더이상 사용할 수 없습니다. 우리는 소비자, 광고주, 자사를 가짜 광고 등록으로 부터 보호하기 위해 주의할 것이며, 지속적으로 의심되는 등록에 대해 검토할 담당요원을 배치할 것입니다.


Related posts:
관련 기사 

'Security News (A:\) > A:\> Translated News' 카테고리의 다른 글

MS, IE의 심각 취약점을 곧 패치될 듯.  (0) 2011.08.20
안드로이드가 실패할 수 있는 5가지 이유  (0) 2011.07.23
최근 안드로이드 보안위협에 대한 진실  (0) 2011.05.30
구글 크롬북, 새로운 보안 위협이다.  (0) 2011.05.20
구글 크롬, 정교한 코드에 해킹당하다  (0) 2011.05.20
룰즈섹은 일반 크래커 그룹과는 달리 개인의 이익 보다는 자칭 '선의'의 이익을 위해 활동한다고 주장합니다. 예를 들자면 세금을 탈루한다거나 비리를 저지른 국회의원들의 정보나 기업인들의 정보를 크래킹을 통해 알아내어 공개해버리는 것이지요. 

만약 이러한 룰즈섹이 우리나라에 온다면 웃어야 할까요? 울어야 할까요? 우리나라의 보안수준은 IT강국이라는 말과 달리 매우 낮습니다. 관심도 굉장히 적기 때문에 기업에 투자를 하지 않으니 외부로 부터 정보유출사태도 많이 겪는 것이구요.  

이미 숭실대학교의 서버를 마비시켰다고 하니, 한국을 진출경로로 잡은 것이 확실해 보입니다. 룰즈섹에서 우리나라 현지사정을 알까 궁금합니다. 세금을 탈루한 대기업의 정보를 캐내어 공개하면서 선량한 일반 시민의 개인정보까지 공개되어버리는 것은 아닌지...

미국은 자신의 나라이기에 어떠한 시스템인지 눈이 밝다지만 우리나라의 주민등록번호 유출은 얼마나 큰 정보인지 알까요? 괜히 네티즌들에게 불똥이 튀지 않을까 걱정됩니다.

'Security News (A:\) > A:\> Korean News' 카테고리의 다른 글

AV백신 눈 뜬 장님 만드는 취약점 발견...업계 비상  (0) 2011.08.17
곰TV 글로벌 페이지, 외부 공격 인정  (0) 2011.08.15
난독화 악성코드 유포 급증...그 대책은?  (0) 2011.07.26
스마트폰 와이파이 자동접속, 해킹된 와이파이도 자동접속  (0) 2011.07.20
불법 콘텐츠·악성코드...'막장' 웹하드 업체  (0) 2011.07.17

+ Recent posts

티스토리툴바