[데이터넷] 맥도날드 할인쿠폰으로 위장해 유포되는 멀웨어가 발견됐다. 이셋에 따르면 페이스북 광고, 스팸 등을 이용하는 멀웨어 2종이 새로 발견됐으며, 이 중 ‘미스파두(Mispadu)’는 브라질과 멕시코에서 발견됐으며, 페이스북에 맥도날드 할인쿠폰을 제공하는 스폰서 광고를 통해 뱅킹 트로이목마를 유포했다.

사용자가 이 광고를 클릭하면 악성 웹 페이지로 연결되며, 할인쿠폰으로 가장한 msi 설치 프로그램이 포함된 zip 파일이 다운로드된다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 뱅킹 트로이목마가 실행되며, 크롬 보호를 위한 확장 프로그램을 배포한다. 웹 브라우저와 이메일 클라이언트에서 사용자의 자격증명과 신용카드·온라인 뱅킹 데이터를 탈취한다.

이셋이 발견한 또 다른 멀웨어 ‘드프리몬(DePriMon)’은 ‘Default Print Monitor’라는 이름으로 새로운 로컬 포트 모니터를 등록한다. 이 멀웨어는 중부유럽과 중동에서 주로 발견됐으며, 개발하는데 정성을 많이 들인 고급 멀웨어로 보인다. 램버트 혹은 롱혼이라고 불리는 사이버 스파이 그룹과 관련있는 ‘컬러드램버트(ColoredLambert)’ 멀웨어와 함께 탐지됐다. 메모리에서 직접 실행되는 반사형 DLL 로딩 기술을 사용하며, 암호화로 C&C 통신을 보호한다. 페이로드를 다운로드하면 곧바로 실행되고 시스템과 사용자의 정보를 수집한다.

김선애 기자 다른기사 보기