페이스북 메신저를 통해 전파되는 가상화폐 거래소 공격 ‘파섹스웜(FacexWorm)’ 주의

게시일: 2018-05-11 l 작성자: Trend Micro

트렌드마이크로의 사이버세이프티솔루션팀은 악성 크롬 확장 프로그램을 발견하고 이를 ‘파섹스웜(FacexWorm)’이라 명명했습니다. 해당 악성 확장 프로그램은 브라우저를 통해 감염된 후 페이스북 메신저를 통해 전파되어 가상화폐 거래 플랫폼을 공격합니다. 몇몇 사용자가 해당 악성 확장 프로그램의 영향을 받았으며, 크롬은 이미 확장프로그램의 상당수를 제거하였습니다.

파섹스웜은 2017년 8월에 처음 발견되었습니다. 외부 보고서에 따르면, 지난 4월 8일 독일, 튀니지, 일본, 대만, 한국, 스페인 에서 파섹스웜이 발견되는 등 최근들어 활동이 급증한 것으로 나타났습니다.

트렌드마이크로의 분석에 따르면, 파섹스웜은 이미 완성단계에 이른 것으로 밝혀졌습니다. 파섹스웜은 Digmine과 마찬가지로 페이스북 계정의 친구에게 조작된 링크를 보내지만 현재는 파섹스웜에서 지정한 웹사이트의 계정과 자격 증명을 도용할 수 있습니다. 또한 사용자를 가상화폐 사기 웹사이트로 리다이렉트 시킨 후 악성 채굴 코드를 주입하고 공격자들의 추천 링크로 다시 우회시킵니다. 그리고 거래 플랫폼과 웹 지갑에서 받는 사람의 주소를 공격자의 주소로 바꿔치기하여 돈을 갈취합니다.

공격자의 주소 및 지갑을 체크해본 결과 현재까지 파섹스웜으로 갈취된 비트코인 거래는 1 비트코인이었으며, 악성 웹 채굴로 벌어들인 수익은 파악하기가 어렵습니다.


그림 1. 파섹스웜(FacexWorm) 감염 체인


전파

파섹스웜은 페이스북 메신저에서 소셜 엔지니어링 기법의 링크를 통해 전달됩니다. 링크는 가짜 유튜브 페이지로 연결되어 동영상 재생을 위해 사용자가 코텍 확장 (파섹스웜) 설치에 동의하도록 유도합니다. 그런 다음 열려있는 웹사이트의 데이터에 접근 및 변경 할 수 있는 권한을 요청합니다.


그림 2. 사용자에게 파섹스웜을 설치하도록 유도하는 가짜 유튜브 페이지



그림 3. 파섹스웜이 보낸 페이스북 메세지


설치가 완료되고 접근 권한까지 얻게되면 파섹스웜은 C&C 서버에서 추가 악성 코드를 다운받고 페이스북을 엽니다. 확장 프로그램인 페이스북이 열렸음을 감지하며 C&C 서버와 다시 통신하여 전파기능이 사용되는지 확인합니다.

그런다음으로 파섹스웜은 OAuth 액세스 토큰을 페이스북으로 부터 요청한 후 페이스북에 대한 일련의 쿼리를 수행하여 피해자의 계정에 있는 친구 목록을 가져와 가짜 유튜브 비디오 링크를 메신저를 통해 보냅니다. 데스크톱 버전의 크롬 이외의 다른 브라우저를 통해 액세스하면 악성 링크 대신 임의의 광고가 전송됩니다.


악성 행위

파섹스웜은 일반 크롬 확장 프로그램의 복제본이지만 메인 루틴이 포함된 짧은 코드가 주입되어 있습니다. 브라우저를 열면 C&C 서버에서 추가 자바스크립트 코드를 다운로드 합니다. 피해자가 새로운 웹페이지를 열 때 마다 파섹스웜은 C&C 서버에 쿼리하여 또 다른 자바스크립트 코드 (Github 저장소에서 호스팅됨)를 찾아서 검색하고 해당 웹페이지에서 해당 동작을 실행합니다.


그림 4. 파섹스웜의 C&C 통신 트래픽 패턴


아래는 파섹스웜의 악성 행위입니다.

  • 구글, 마이모네로 (MyMonero), 코인하이브 (Coinhive) 에 대한 사용자의 계정 자격 증명 도용 – 파섹스웜이 대상 웹사이트의 로그인 페이지가 열려 있음을 감지하고나면, 로그인 정보가 채워진 후 로그인 버튼을 클릭할 때 C&C 서버에 자격 증명을 전송하는 기능이 주입됩니다.

  • 가상화폐 사기 – 사용자가 파섹스웜이 타깃으로 정한 52개의 가상화폐 거래소 플랫폼 중 한 곳을 방문하거나 혹은 URL에 “블록체인 (blockchain)”, “eth-“, “이더리움 (ethereum)” 과 같은 키워드를 검색할 때, 파섹스웜은 피해자를 가짜 페이지로 리다이렉트 시킵니다. 그 후 확인 절차를 가장하여 5에서 100 eth 을 돌려주겠다는 약속을 하고 사용자가 공격자의 지갑 주소로 0.5에서 10 eth를 보내도록 유도합니다. 사용자는 페이지를 닫거나 정상적인 웹사이트를 다시 열어서 이러한 악성 행위의 피해를 막을 수 있습니다. 이는 악성 확장 프로그램이 쿠키의 타임스탬프를 예약하였기 때문에 사용자가 한 시간 내에 가짜 페이지로 리다이렉트 될 수 없기 때문입니다. 그러나 파섹스웜의 웹페이지에 다시 액세스하면 리다이렉션이 재개됩니다. 현재까지 해당 공격으로 인한 피해자는 발견되지 않았습니다.

  • 웹 가상화페 악성 채굴 실행 – 파섹스웜은 또한 피해자가 오픈한 웹페이지에 자바스크립트 채굴기를 주입합니다. 해당 채굴기는 코인하이브 풀에 연결된 난독화된 코인하이브 스크립트입니다. 스크립트 설정에 따라 채굴기는 각 스레드를 시스템의 CPU 성능의 20%를 사용하도록 구성되어 있으며, 웹페이지에서 네개의 스레드를 채굴에 연결합니다.

  • 가상화폐와 관련된 거래 탈취 – 피해자가 가상화폐와 관련된 웹사이트에서 거래 페이지를 열게되면 파섹스웜은 피해자가 입력한 주소를 찾아 공격자가 지정한 다른 주소로 바꿔치기합니다. 파섹스웜의 이러한 행위는 폴로닉스 (Poloniex), 힛빗 (HitBTC), 비트피넥스 (Bitfinex), 이더피넥스 (Ethfinex), 바이낸스 (Binance) 과 같은 거래 플랫폼과 Blockchain.info 지갑에서 일어납니다. 타깃이 되는 가상화폐는 비트코인 (Bitcoin, BTC), 비트코인골드 (Bitcoin Gold, BTG), 비트코인캐쉬 (Bitcoin Cash, BCH), 대시 (DASH), 이더리움(Ethereum, ETH), 이더리움클래식 (Ethereum Classic, ETC), 리플 (Ripple, XRP), 라이트코인 (Litecoin, LTC), 제트캐쉬 (Zcash, ZEC), 모네로 (Monero, XMR) 입니다. 공격자가 지정한 주소를 체크했을 때 (4월 19일 까지), 오직 한 개의 비트코인 거래만 탈취되었습니다. ($2.49 가치).

  • 가상화폐 관련 추천 프로그램을 통한 수익 창출 – 피해자가 타깃이 된 웹사이트에 접속할 때 파섹스웜은 페이지를 공격자가 지정한 특정 웹사이트로 리다이렉트 시킵니다. 공격자는 계정을 생성한 모든 피해자에 대한 추천 인센티브를 얻게됩니다. 타깃 웹사이트에는 바이낸스 (Binance), 디지털오션 (DigitalOcean), 프리비트코인 (FreeBitco.in), 도지코인 (FreeDoge.co.in), 해쉬플레어 (HashFlare) 입니다.


그림 5. 가짜 가상화폐 웹페이지



그림 6. 파섹스웜 악성 스크립트에 포함되어 있는 코인하이브 구성 (난독화됨)



그림 7. (상단) 파섹스웜의 악성 스크립트 (난독화됨)가 비트코인 주소를 대체함.
(하단) 대체된 주소의 웹페이지



그림 8. 파섹스웜이 탈취한 비트코인 거래



그림 9. 파섹스웜이 사용자가 접속할 가능성이 있는 웹사이트를
타겟팅 하기위해 추천 코드를 추가하는 방법


지속적인 매커니즘

파섹스웜은 피해자가 브라우저에서 악성 확장 프로그램을 제거하지 못하도록 하는 매커니즘을 구현합니다. 사용자가 “chrome://extensions/”를 통해 크롬 확장 설정 페이지를 오픈하는 것이 감지되면, 파섹스웜은 바로 해당 페이지를 닫아버립니다. 이와 같이 사용자가 크롬의 설정 페이지 주소에 접근하지 못하도록 하는 행위는 드로이드클럽봇넷 (DroidClub botnet)과 같은 다른 악성 확장 프로그램에서도 사용되었습니다. (드로이드클럽봇넷은 페이지를 닫지 않고 가짜 설정 페이지로 페이지를 대체하였습니다)


그림 10. 파섹스웜이 C&C 서버와 통신하고 크롬 확장 설정 페이지를
닫는 내용의 악성 스크립트


대처방안

공격자가 새로운 파섹스웜 확장 프로그램을 크롬 웹스토어에 계속해서 업로드하려고 시도하지만 크롬 웹스토어에서 즉각적으로 지워지는 것으로 나타났습니다. 트렌드마이크로는 또한 페이스북 메신저가 악성 소셜 엔지니어링 기법의 링크를 탐지하고 전파되는 것을 차단할 수 있음을 확인하였습니다. 사용자들은 공유하기 전 한번 더 생각하고, 의심스러운 메시지에 보다 신중하게 대응하며, 소셜미디어 계정에 대한 개인 정보 설정을 강화하는 등의 더 철저한 보안 습관을 들여야 이러한 위협으로부터 계정을 안전하게 지킬 수 있습니다.

트렌드마이크로는 조사 결과를 페이스북과 공유하는 등 적극적인 사이버 보안 파트너십을 유지하며 페이스웜과 같은 위협에 대처하기 위한 노력을 기울이고 있습니다.


IoC (Indicators of Compromise)

CRX file hashes related to FacexWorm (SHA-256):

  • 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371
  • 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
  • 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
  • ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
  • 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91

Chrome Extension IDs related to FacexWorm:

  • akoefpoebeaikfcpoghppjcnhklffcjm
  • ecfpnbgianoaiocjciahnkfognimimhf
  • fanjaialdpcmadoodgppaaaldpccaedc
  • jolmnflkapibjdpmiiofkopkdgklckll
  • kojocamkjcbpcnibahfhomfjnliglfeo

Domains related to FacexWorm’s scam:

  • video-sig[.]blogspot[.]com
  • video-goyd[.]blogspot[.]com
  • vido[.]vigor[.]design
  • dot[.]filmnag[.]com
  • filmnag[.]com

C&C domains related to FacexWorm:

  • dirg[.]me
  • seap[.]co
  • roes[.]me
  • ijocire[.]bid
  • pingli[.]bid
  • upej[.]date
  • jsapi[.]me
  • jsdo[.]bid
  • uef[.]date
  • uto[.]date
  • dnseat[.]us
  • ikesa[.]date
  • yci[.]date

[원문: FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation]