사회적으로 관심을 끄는 사건 발생 시 이를 이용해 악성코드를 유포하는 방식은 흔히 등장한다. 하지만 이번 말레이시아 항공기 사건을 사칭하며 유포된 악성코드가 실제 지난 해 발생한 표적공격에 사용됐던 것과 동일한 악성코드임이 드러났다.
이에 해당 악성코드 감염 시 표적공격에 노출될 가능성이 높기 때문에 더욱 주의해야한다는 지적이다.
트렌드마이크로는 23일 자사 블로그를 통해 지난 8일 실종된 말레이시아 항공기 370편 사건을 사칭한 악성코드가 여러 채널을 통해 전파중이라며 주의를 당부했다.
이 회사는 그 중 하나가 이 항공기에 관한 동영상을 가장한 파일로, 이메일로 배포되고 있다고 추정했다.
'Malaysian Airlines MH370 5m Video.exe’라는 이름의 5분짜리 동영상이지만, ‘BKDR_OTOPROXY.WR’로 탐지되는 백도어 악성코드를 은닉하고 있다.
대부분의 백도어 악성코드와 마찬가지로 BKDR_OTOPROXY.WR도 감염되면 공격자가 원격에서 PC의 개인정보 및 각종 데이터를 훔쳐가는 등 다양한 공격을 원격에서 실행할 수 있게 한다.
특히 이 백도어 악성코드는 보통의 악성코드와 다른 점이 있다.
트렌드마이크로측은 "BKDR_OTOPROXY.WR가 이용하는 C&C 서버 중 1개가 2013년 10월에 있었던 표적 공격과 관련되어 있다고 추정된다”며 “표적 공격이 기존의 사이버공격과 동일한 기반을 공유하는 경우는 흔치 않지만 주의를 기울여 관찰 중”이라고 밝혔다.
트렌드마이크로는 또한 말레이시아 항공기 추락사건 뉴스를 이용한 설문조사 사기도 다수 확인했다고 설명했다.
실종된 항공기가 해상에서 발견되었다고 하는 가짜 뉴스 속보를 이용한 사례다. 사용자가 링크를 클릭하면 페이스북의 동영상과 매우 유사한 웹사이트로 유도된다.
웹사이트에는 실종된 항공기가 발견되었다는 동영상이 포함되어 있다. 실제로는 페이지의 어디를 클릭해도 또 다른 페이지가 열리고 영화 아바타 속편에 관한 가짜 동영상이 표시된다.
사용자가 동영상을 보기 위해 클릭하면 설문조사에 답하도록 유도되는데 실제 항공기 사건 관련 동영상은 존재하지 않는다.
트렌드마이크로 클라우드 보안센터(SPN)의 피드백에 따르면 북미 지역에서 32%, 아시아태평양 지역에서 40%가 이 페이지에 접속한 것으로 나타났다.
또다른 설문조사 사기는 유투브 화면을 모방하여 실종된 항공기가 발견되었다는 동영상을 보여준다. 이전 사례와 같이 사용자는 동영상을 공유하고 재생 전에 테스트를 하도록 유도한다. 그러나 이 테스트도 마찬가지로 설문조사 사기로 유도할 뿐이다.
트렌드마이크로측은 “최신 뉴스나 시사 문제는 사이버범죄자가 이용하는 소셜 엔지니어링의 주요 미끼가 된다”며 “일본 대지진이나 보스톤 마라톤 폭탄테러, 태풍 하이옌 피해 등의 뉴스도 다양한 위협을 확산하기 위해 이용된다. 최신 뉴스나 시사 문제를 알고 싶을 때에는 이메일이나 SNS가 아닌 신뢰할 수 있는 뉴스 사이트를 직접 방문해야한다”고 당부했다.