페이스엑스 웜(FaceX worm), 페이스북과 가상화폐 계정 노린다
크롬 확장프로그램 형식의 악성코드
페이스북 메신저를 통해 유포되는 악성 크롬 확장 프로그램이 또 다시 활개를 치고 있다. 페이스엑스(facex)라는 악성 코드이다. 피싱 링크를 이용해 가짜 유튜브 사이트로 유인하여, 코덱 설치를 빙자하여 설치를 유도한다.타임투두(Time2Do) 악성코드와 유사
지난 달에 기승을 부린 타임투두와 같은 수법으로 퍼지고 있으며, 악성 행위도 비슷하다. 따라서 대처 요령은 타임투두와 같다. 다만 페이스북 계정 외에 가상화폐 계정까지 탈취한다는 점에서 위험도는 더 높다.가상화폐 채굴 및 탈취
페이스엑스는 피해자가 새 웹 페이지를 열 때마다 C&C 서버(해커의 지휘통제소 격)에 접속하여 필요한 악성코드를 추가로 받는다. 그리하여 가상화폐 채굴 코드를 실행하고, 가상화폐 계정의 크리덴셜(credential, 자격증명)을 탈취한다. 채굴 코드는 시스템 자원의 20%만을 사용하도록 해서 피해자가 눈치채기 어렵게 했다.현재 약 52개 정도의 가상화폐 플랫폼을 노리고 있는데, 비트코인이나 이더리움 같은 키워드를 감시하고 있다가, 피해자가 가상화폐 거래소에 접속하려 하면 가짜 사이트로 연결하여, 수신자 지갑 주소를 해커의 것으로 바꿔치기하는 수법으로 가상화폐를 탈취한다.
C&C 서버를 통해 매번 업데이트 되므로, 악성 행위나 표적 가상화폐 플랫폼은 확대될 수 있다.
관련 자료
참고 자료
댓글
댓글 쓰기