ESET백신 이셋코리아
새소식

홈 > 새소식









 
작성일 : 17-12-13 09:25
ESET, FinFisher를 대체하는 StrongPity2 스파이웨어 발견에 주의 요망
 글쓴이 : ESTC
조회 : 289  


유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 FinFisher 스파이웨어를 대체하는 StrongPity2 스파이웨어가 발견되어 주의를 요한다고 전했다.



인터넷 서비스 제공 업체(ISP)가 관련된 것으로 추정되며, FinSpy 로도 불리는 악명 높은 스파이웨어인 FinFisher 악성코드가 다른 스파이웨어로 대체된 것으로 알려졌다. ESET 제품에 의해 Win32/StrongPity2 로 탐지되는 이 새로운 스파이웨어는 StrongPity라는 그룹의 스파이웨어와 매우 유사하다.

지난 9 월 ESET 이 보고한 바에 따르면, 일부 국가에서 발견된 중간자(MitM: Man-in-the-Middle) 공격이 FinFisher 스파이웨어를 확산시키는 데 사용되었으며, ISP 수준의 개입이 존재하는 것으로 알려졌다.

최근 유사한 방법의 공격이 다시 발견되었는데, 이전과 동일하게 HTTP 리디렉션 방법이 사용되지만 FinFisher 대신 Win32/StrongPity2 스파이웨어를 배포한다는 점이 다르며, 새로운 스파이웨어가 과거에 StrongPity 그룹이 사용한 악성코드와 유사한 점을 포함하고 있다는 것을 발견했다.

첫 번째 유사점은 공격 시나리오인데, 소프트웨어 설치 패키지 다운로드시 사용자는 트로이 목마가 포함된 소프트웨어 설치 패키지가 등록된 가짜 웹 사이트로 이동하게 되며, 지금까지 발견된 소프트웨어 설치 패키지는 CCleaner v5.34, Driver Booster, Opera Browser, Skype, VLC Media Player v2.2.6 및 WinRAR v5.50 등이다. 또한 Win32/StrongPity2 스파이웨어의 코드 일부가 StrongPity 그룹이 사용한 악성코드와 정확히 동일하고, 동일한 난독화 알고리즘과 파일 추출 방법을 이용하며, 비교적 오래된 버전의 libcurl 7.45를 사용한다는 공통점이 있다.

Win32/StrongPity2 스파이웨어는 다양한 형식의 데이터 파일을 유출하는 동작 뿐만 아니라, 유출된 계정 정보를 이용한 추가 악성코드를 다운로드하고 실행할 수도 있다.

이셋코리아의 김남욱 대표는 "적법한 소프트웨어 설치 패키지에 스파이웨어를 포함시킨 후 배포하는 사례가 계속 발견되고 있으며, 더욱 큰 문제는 이들 소프트웨어가 조직적인 감시나 감찰에 이용되고 있다는 점입니다. 널리 사용되는 소프트웨어를 다운로드하는 경우라도 충분히 검증된 보안 제품을 사용하여 악성코드 포함 여부를 검사한 후 사용하는 것이 필요합니다."고 전했다.

ESET 소개
1987년 설립 이래로, ESET®은 차별화된 기술력을 바탕으로 전 세계 1억명 이상의 사용자 시스템을 안전하게 지켜주기 위 한, 다양한 수상 경력의 보안 소프트웨어를 개발하고 있습니다.

광범위한 제품 라인업은 널리 사용되는 대부분의 플랫폼을 모두 지원하며, 빠른 성능과 우수한 사전 방역 기능의 완벽한 균형을 갖춘 제품을 제공하고 있습니다. ESET®은 브라티슬 라바, 샌디에고, 싱가포르, 부에노스아이레스 등에 지사를 보유하고 있으며, 전 세계 180여 국가에 판매 및 기술지원 파트 너를 운하고 있습니다.

자세한 내용은 www.eset.com을 방문하거나, 링크드인, 페이스북 및 트위터에서 ESET을 팔로우 하십시오.