MS Internet Explorer와 Adobe Flash Player의 가짜 Update 요청을 통한 악성파일 감염

개요

• Trend Micro 연구소에 따르면 최근 MS 인터넷 익스플로러와 Adobe 플래시 플레이어를 가짜로 업데이트
  하도록 요청하여 악성파일을 감염시키는 방식을 발견

주요내용

• 최근 발견된 MS 인터넷 익스플로러 및 Adobe 플래시 플레이어의 가짜 업데이트 요청을 분석한 결과, 악성
  파일을 감염시키기 위한 가짜 다운로드 사이트로 밝혀짐
   - MS 인터넷 익스플로러 및 Adobe 플래시 플레이어의 가짜 업데이트 요청은 주로 개방형 Wi-Fi를 사용하는
     장소에서 사용자가 유투브나 페이스북 사이트를 접속할 때 업데이트가 필요하다는 경고창 이후에 나타남
   - 업데이트 요청시 사용되는 가짜 다운로드 사이트는 일반 업데이트 요청 사이트와 구별할 수 없으며, 
     업데이트를 승인하게 되면 악성 스파이웨어(TSPY_FAREIT.VAOV)가 호스트에 감염됨
   ※ TSPY_FAREIT.VAOV : 감염된 호스트의 웹 브라우저에 저장된 사용자 아이디와 패스워드 등을 탈취하는
      스파이웨어로서, 전세계에 큰 피해를 입혔던 ZeuS와 같은 다른 악성코드도 시스템에 다운로드시킴

< 인터넷 익스플로러 가짜 업데이트 요청 >

< Adobe 플래시 플레이어 가짜 업데이트 요청 >

• 공격자들은 가짜 업데이트 요청을 위해 인터넷 접속을 위한 무선 라우터나 모뎀의 DNS 서버 설정을 조작함
    - 가짜 업데이트 요청이 발생하는 장소에서 사용하는 무선 라우터나 모뎀을 조사한 결과, 페이스북 및 
      유투브 사이트를 방문하는 경우에만 DNS Query시 악성 DNS 서버의 주소로 리다이렉트 수행됨
    - 공격자들에 의해 조작된 Primary DNS 서버 주소는 페이스북 및 유투브 사이트 접속시에만 리다이렉트를
      수행하기 때문에, 그 외의 사이트는 Secondary DNS 서버 주소인 구글의 free DNS 서버를 통해 정상 접속
    - 이번에 발견된 DNS 서버의 주소가 조작된 무선 라우터는 TP-link사의 TD-W8951ND 모델로 밝혀짐

 

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/when-networks-turn-hostile/
2. http://about-threats.trendmicro.com/us/malware/TSPY_FAREIT
3. http://blog.trendmicro.com/trendlabs-security-intelligence/wi-fi-on-the-go-how-safe-is-it/