안녕하세요 알약대응팀 입니다.
최근, 페이스북 메신저로 악성링크를 보내, 사용자의 클릭 및 파일 다운로드를 유도하는 사례가 다시 성행하고 있습니다.

<페이스북 메신저를 통한 악성링크 전송화면>

공격자는 먼저 페이스북 계정을 탈취한 뒤 해당 계정의 친구들에게 호기심을 유발하는 글과 악성링크를 전송합니다. 이 링크를 클릭하면 PC용 악성코드가 다운로드 되는데, 이 악성코드는 사용자의 PC에 설치된 후 C&C서버 역할을 하는 특정IRC 채널에 접속해 공격자의 명령을 실시간으로 전달받습니다. 또한 피해 PC의 각종 API를 후킹하여 금융사이트 접속 시 금융정보를 탈취, 공격자에게 전송하고 보안업체 사이트의 접근도 차단하는 등 다양한 악성행위를 실행합니다. 앞으로 페이스북을 이용한 악성코드 유포 시도는 단순히 메시지를 전송하는 방법에만 그치지 않고, 다른 게시물의 댓글에 악성링크를 적어두거나 호기심을 자극하는 다른 여러 방법으로 발전할 가능성이 있습니다.

내 지인의 SNS의 계정이 탈취되거나 PC가 악성코드에 감염될 경우, 계정 소유자의 의사와는 상관없이 악성메세지가 자동으로 나에게 발송되기 때문에 낯선 이의 메시지 뿐 아니라 지인으로부터 받는 메시지도 항상 악성 메세지일 가능성이 존재합니다.

따라서 이러한 피해를 줄이려면 확산속도가 빠른 SNS로 전파되는 링크는 클릭하지 않는 것이 가장 바람직하며, 부득이 링크된 파일을 다운로드 해야 할 경우 반드시 파일의 정확한 출처를 파악해 신뢰할 만한 배포자에 의해 배포된 것인지를 우선 확인하고 악성코드 감염여부 등도 꼼꼼히 점검한 뒤 실행하여야 합니다.

현재 알약에서는 이 악성코드를 Backdoor.Ngrbot.gen으로 탐지하고 있으며, 변종이 발견되는 대로 지속적으로 업데이트 중에 있으니, 알약 사용자 여러분들은 반드시 알약을 최신버전으로 유지해 주시기 바랍니다.

감사합니다.