카스퍼스키랩 연구진은 PC 버전 텔레그램의 제로데이 취약점을 이용한 신종 악성코드 공격을 발견했다고 밝혔습니다.

이 취약점을 통해 다목적 악성 코드가 설치되게 되며, PC에 따라 이 악성코드는 백도어 역할을 하거나 채굴 소프트웨어를 설치하는 도구 역할을 하기도 합니다.

이번 조사 결과에 따르면, 2017년 3월 이후로 이 취약점은 모네로(Monero), Z캐치(Zcash) 등 암호화 가상화폐의 채굴 작업에 활용된 것으로 밝혀지게 되었습니다.

이 사실은 카스퍼스키랩에서 출간한 보고서에 수록된 지능형 모바일 악성코드 스카이고프리(Skygofree) 트로이목마가 대표적인 예라고 할 수 있습니다.

어떤 악성코드인가?

이 악성코드는 왓츠앱(WhatsApp) 메시지를 가로채는 기능을 가지고 있고, 최근 조사에서는 유명한 인스턴트 메신저 PC 버전의 알려지지 않은 새로운 취약점을 이용한 공격도 발견되었습니다.
[ads-m1]
텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 보입니다.

이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는데 주로 사용됩니다.

다만, 악성코드 개발자들도 사용자들을 속이기 위해 악성 파일을 이미지 파일 등 정상 파일인 것처럼 위장하는 데 이 기법을 사용한다고 합니다.

공격자가 문자의 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경되는 것입니다.

그 결과 사용자는 숨겨진 악성코드를 다운로드하게 되며 악성코드가 컴퓨터에 설치되게 됩니다. 카스퍼스키랩은 텔레그램에 이 취약점을 보고했습니다.

분석 중에 카스퍼스키랩 연구진은 공격자에 의해 제로데이 익스플로잇이 전개되는 시나리오를 밝혀내게 되었습니다. 첫 단계로 취약점을 통해 채굴 악성코드가 설치되게 됩니다.

피해자의 PC를 활용해 사이버 범죄자들은 모네로, Z캐시, 팬톰코인(Fantomcoin) 등의 암호화 가상화폐를 채굴하기 때문에 이 악성코드는 사용자에게 큰 피해를 입히게 될 것입니다.

뿐만 아니라 공격자 서버를 분석하는 중에 사용자로부터 탈취한 텔레그램 로컬 캐시가 포함된 아카이브도 발견되었다고 하니 카스퍼스키랩 텔레그램 메신저를 이용하신다면 조심해야되겠습니다.

또 다른 문제점은?

두 번째로는 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 C&C 프로토콜로 사용하는 백도어가 설치됩니다.
[ads-m2]
이를 통해 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보할 수 있게 됩니다.

설치 완료 후 이 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행할 수 있게 됩니다.

카스퍼스키랩코리아(www.kaspersky.co.kr)는 사실 일반적인 악성코드와 스파이웨어 외에도 지난해부터 공격 트랜드인 채굴 소프트웨어를 설치하는 제로데이 익스플로잇 공격 시나리오를 몇 가지 밝혀냈습니다.

게다가 이번 제로데이 취약점을 악용하는 다른 방법도 있을 것으로 보입니다.

당연히 사용자측에서 어느정도 보안에 대한 격감심을 가질 필요가 있습니다. 이러한 악성코드 감염으로부터 PC를 보호하기 위한 사용자들이 우선, 신뢰할 수 없는 출처의 알 수 없는 파일을 다운로드하거나 열어보지 않아야됩니다.

또한, 인스턴트 메신저로 민감한 개인 정보를 공유하지 않아야 될 것입니다. 그리고, 카스퍼스키 인터넷 시큐리티 또는 카스퍼스키 프리 등 보안 솔루션을 설치해 악성 채굴 소프트웨어를 비롯해 모든 잠재적인 위협을 탐지하고 차단해야 될 것입니다.