텔레그램 취약점으로 가상화폐 채굴 악성코드 감염

보안성으로 유명한 메신저 텔레그램의 PC버전에서 제로데이 취약점이 발견됐다. 이를 이용해 다목적 악성코드가 설치됐는데, 경우에 따라 백도어 역할을 하거나 가상화폐 채굴용 악성코드를 다운로드하기도 한다.

텔레그램 API를 백도어로 활용

카스퍼스키랩에 따르면, 지난해 3월 이후로 해커는 해당 취약점을 '모네로'와 '지캐시' 등 가상화폐 채굴작업에 활용했다. 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 명령&제어(C&C) 프로토콜로 사용하는 백도어가 설치된다. 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보했다. 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행한다.

유니코드 RLO 이용

이 취약점은 Unicode의 RLO 기능을 이용한다. 이는 악성코드를 문서나 이미지 등 실행파일이 아닌 것 같이 위장하는 수법이다. 지인이 보낸 사진인 줄 알고 열면 악성코드가 설치되는 식이다.
이렇게 파일 이름을 속이는 악성코드는 탐색기에서 자세히 보기를 하거나 세부정보창을 통해 꼼꼼히 살펴보면 알아챌 수 있다. 메일, 메신저, 토렌트 등 공유 프로그램을 통해 받은 파일은 자세히 살펴볼 필요가 있다.
RLO 및 파일 확장명을 위장하는 여타 수법에 관해서는 관련 자료 1을 보세요.

관련 자료
  1. 파일 확장명 위장한 악성코드
참고 자료
  1. 텔레그램 PC 버전 제로데이 취약점 이용...'채굴 악성코드' 감염 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다