Eyeon Security Information security company

보안 동향

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치 관리자 2020-04-10 06:15:21
파워포인트를 통한 ‘호버 위드 파워’ 공격, 클릭 없이도 멀웨어 설치
관리자  2020-04-10 06:15:21



파워포인트를 통한호버 위드 파워공격, 클릭 없이도 멀웨어 설치

 

프레젠테이션 파일인 PPSX 포맷에서 발견된 취약점...마우스오버로 클릭 효과 내

MS 측은 소셜 엔지니어링 요소 있으므로 기술적 취약점 아니라는 입장 고수 중


[보안뉴스 문가용 기자] 파워포인트 파일을 통해 멀웨어를 다운로드 받게 하는 공격 기법이 발견됐다. 이 공격의 특징은 피해자가 악성 링크를 클릭하지 않고, ‘마우스오버만 실행해도(, 마우스 커서를 링크 위에 가져다 놓기만 해도) 멀웨어가 설치되기 시작한다는 것이다. 그러나 마이크로소프트는 이를 대단히 큰 위험으로 받아들이지 않고 있다. 마우스오버 만으로 멀웨어가 다운로드 되긴 하지만, 팝업 창이 하나 뜨고 피해자가확인을 눌러야 하기 때문이다.

이 공격 기법을 발견한 보안 전문가 만다르 사탐(Mandar Satam) MS의 입장을 반대한다. 그는 자신의 블로그를 통해파워포인트는 하이퍼링크 액션을 통해 원격 파일을 추가하지 못하도록 하는데, 이 공격은 이걸 가능하게 하며, 팝업 창의 문구와 파일 이름을 공격자들이 마음대로 바꿀 수 있기 때문에 큰 위험이 될 수 있다고 주장했다.



 


코로나 바이러스를 미끼로 한 사이버 공격, 재택 근무자들 노린다

 

VPN 등 원격 근무자들 늘어나며 사용자 증가한 엔드포인트 앱들 주로 노려

취약점 스캔 활동이 실제로 증가해...재택 근무자들의 실수까지도 표적이 되고 있어


[보안뉴스 문가용 기자] 2월부터 다양한 사이버 범죄자들이 코로나 사태를 주제로 한 사이버 공격에 박차를 가하기 시작했다. 전략과 방법론도 다양하게 변하는 중이다. 처음에는 코로나 바이러스에 대한 정보라고 속이며 사용자들의 클릭을 유도했다면, 지금은 대량 발생한 원격 근무자들을 노리기 시작했다.

마이크로소프트의 경우 24시간 동안 발생한 피싱 공격을 분석했는데, 2300개의 웹 페이지들이 연루되어 있었다고 한다. 대부분 코로나 사태로 인한 정부 지원금을 테마로 하고 있었으며, 가짜 오피스 365 로그인 페이지로 연결시켰다. 즉 크리덴셜을 빼가기 위한 공격이 주를 이뤘다는 것이다. 또한 원격 근무자들 사이에서 사용될 법한 화상 회의 플랫폼과 VPN을 미끼로 삼는 경우도 늘어나고 있었다.



 


참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 

 

[패치 및 업데이트]


금일 최신 패치 및 업데이트가 없습니다.

 

[최신 바이러스 정보]

금일 최신 바이러스 정보가 없습니다.

 

 

[보안TIP]

[긴급] ‘긴급재난자금상품권 사칭한 스미싱 유포

[보안뉴스 원병철 기자] 최근 정부와 각 지자체의코로나19 관련 긴급 재난 지원금이 이슈가 되고 있는 가운데, 4 9긴급재난자금을 사칭한 스미싱이 유포되고 있어 주의가 요구된다고 이스트시큐리티 ESRC(센터장 문종현)가 밝혔다.

최근 코로나19 바이러스 감염으로 인한 직·간접적 피해를 입은 국민들의 삶을 지원하고 경기를 활성화시키기 위한 정부 긴급재난지원금 지급이 논의되고 있으며, 일부 지자체는 이미 인터넷으로 신청을 접수중인 상태다. 특히 재난기본소득에 대한 지급을 최초로 결정했던 경기도의 경우 4 9 15시부터 재난기본소득 온라인 신청을 오픈할 예정인데, 공격자들은긴급재난자금에 사용자들의 관심이 쏠리고 있는 이러한 상황을 악용해 스미싱 공격을 수행했다.

 

이러한 사례는 얼마 전인 3월 말에 있었던 ‘n번방 회원 신상정보 공개라는 키워드를 사용했던 스미싱과 매우 유사한 케이스다. 이번 스미싱 공격에서 공격자들은 ‘[긴급재난자금] 상품권이 도착했읍니다.확인해주세요.’라는 메시지로 사용자들을 현혹했다.

 

만약, 메시지에 포함된 단축 URL을 클릭하게 되면 악성앱이 다운로드되며, 감염시 사용자 스마트폰에서 sms정보를 탈취한다.

기존 n번방 관련 스미싱앱이 많은 정보를 탈취한 것에 비해, 이번 스미싱앱은 sms 문자메시지 정보만을 수집한다. 이 부분은 좀 더 확인이 필요하지만, 일단 보이스피싱을 위한 사전 정보 획득 단계로 판단하고 있으며, 추가 공격에 대해 모니터링을 진행하고 있다고 ESRC는 밝혔다.

 

스미싱 공격자들은 국내 정치, 사회 이슈 등을 교묘히 이용해 지속적인 공격으로 활용하고 있다. 따라서 사용자들은 이런 문자 메시지에 현혹되지 않도록 주의하고, 보안 수칙을 지키는 것이 중요하다고 ESRC는 당부했다.

 

①신뢰할 수 있는 모바일 백신 프로그램을 설치하고, 정기적으로 검사 수행하기

②출처가 불분명한 경로를 통한 APK 앱 설치 금지

③의심스러운 내용의 문자 메시지에 포함된 URL은 절대로 클릭하지 않기

 

이스트시큐리티는 한국인터넷진흥원(KISA) 및 후후(whowho)와 함께 스미싱 관련 공격을 효과적으로 차단하기 위해 공동 대응을 진행하고 있다면서, 해당 스미싱 악성앱에 대해 알약M에서는 ‘Trojan.Android.SmsSpy’로 탐지중이라고 밝혔다.

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/

 

 

첨부 파일 :