WithSecure 보안 연구팀이 페이스북의 비즈니스 및 광고 계정을 해킹하는 '덕테일(DUCKTAIL)이라는' 새로운 멀웨어를 발견했다.
전문가들은 이 공격이 2018년부터 시작됐으며, 베트남의 해커들에 의해 범죄 자금을 모으기 위한 수단으로 이용되고 있는 것으로 보고 있다.
관련 조사에 따르면, 해커는 2021년 하반기부터 덕테일 멀웨어를 적극적으로 개발, 배포하고 있다. 덕테일 멀웨어는 주로 페이스북 비즈니스 계정을 대상으로 한다. 브라우저 쿠키를 훔치는 정보 도용 멀웨어를 사용하고, 동시에 인증된 페이스북 세션을 해킹해 피해자의 페이스북 계정에서 정보를 훔친다.
이들의 최종 목표는 페이스북 비즈니스 계정을 탈취하는 것이다. 특히 기업에서 관리, 디지털 마케팅, 디지털 미디어 관리 등의 역할을 맡은 계정을 목표로 한다.
해커들은 링크드인을 통해 대상을 찾고 있으며, 드롭박스, 아이클라우드 및 미디어파이어 같은 파일 또는 클라우드 호스팅 서비스도 이용하는 것으로 알려진다.
WithSecure 연구원들은 덕테일 멀웨어에 사용된 샘플이 .NET Core로 작성됐으며, 단일 파일 기능을 사용해 컴파일됐음을 확인했다. 이 기능은 모든 종속 라이브러리와 파일을 단일 실행 파일로 묶고 기본 어셈블리도 포함한다. 전문가들은 NET Core와 단일 파일 기능의 사용이 악성코드 개발에서 흔하게 사용되지는 않는다고 지적했다.
Net Core를 사용하면 해커가 텔레그램봇(Telegram Bot) 클라이언트와 기타 외부 종속성을 단일 실행 파일에 포함하고 텔레그램 채널을 C&C(명령 및 제어)로 사용할 수 있다.
WithSecure 연구원들은 “작년 말부터 해커들은 텔레그램 봇 기능을 사용하는 C&C 채널로 텔레그램을 사용하는 것으로 완전히 전환했다. 현재 해커들은 C&C 채널을 통해서만 훔친 정보를 추출한다. 비즈니스 하이재킹 목적으로 이메일 주소를 보낼 가능성 외에는 C&C에서 피해자의 컴퓨터로 명령을 보내지 않는다”라고 설명했다.
피해자들로부터 페이스북 세션 쿠키를 훔치기 위해 해커는 구글 크롬, 마이크로소프트 엣지, 브레이브 브라우저, 파이어폭스 등 브라우저를 검색한다. 또한 브라우저에 대해 페이스북 세션 쿠키를 포함한 모든 쿠키를 추출한다.
또한 덕테일 멀웨어는 2FA 코드, 사용자 에이전트, IP 주소 및 지리적 위치와 같은 기타 데이터와 함께 이름, 이메일 주소, 생일 및 사용자 ID를 포함한 피해자의 개인 페이스북 계정에서 정보를 훔친다.
덕테일 멀웨어
해커들은 피해자의 개인 계정에 접근해 텔레그램 채널에서 검색한 이메일 주소를 추가해, 자신들에게 관리자 권한을 부여한다.
이를 통해 거래, 송장, 계정 지출 및 지불 방법과 같은 비즈니스 신용 카드 정보와 재무 세부 정보를 편집해 결제 수단을 탈취해 원하는 광고를 게재한다.
전문가 분석에 따르면, 덕테일 멀웨어의 영향을 받는 국가는 미국, 인도, 사우디아라비아, 이탈리아, 독일, 스웨덴, 핀란드, 필리핀 등이다.
WithSecure 보안 연구팀은 “해커가 페이스북의 기존 보안 기능을 피해 비즈니스 계정을 하이재킹하는데 성공했는지 정확하게는 알 수 없다. 하지만 기존 혹은 새로운 페이스북의 보안 기능을 피하기 위해 계속해서 멀웨어를 업데이트하고 있는 것으로 보인다”라고 말했다.
한편, 덕테일 멀웨어를 방지하기 위해서는 비즈니스 계정에 대한 접근 권한을 확인하고 알 수 없는 사용자를 제거해야 한다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
