betman 토토 메신저로 받은 악성 단축 URL 클릭 주의

안녕하세요? betman 토토트시큐리티 시큐리티대응센터(ESRC)입니다.

8월 16일 오전부터 가짜 동영상 화면으로 위장된 악성 URL 링크가 betman 토토(Facebook) 메신저를 통해 무작위로 전파되고 있어 각별한 주의가 필요합니다.

크롬(Chrome) 웹 브라우저가 활성화되어 있고, betman 토토이 로그인되어 있는 상태일 경우 감염된 betman 토토 메신저로 부터 비디오 동영상 링크처럼 위장된 단축 URL 주소가 전송되어 집니다.

[그림 1] betman 토토 메신저로 전송된 악성 단축 URL 링크 화면

만약, betman 토토 친구가 메신저로 보낸 해당 단축 URL 링크를 클릭하게 되면 보낸이의 프로필 사진으로 위장한 구글 DOC 사이트로 연결되고 재생버튼을 클릭하도록 유인합니다.

[그림 2] 단축 URL 링크를 betman 토토시 연결되는 docs.google.com 화면

이용자가 재생버튼을 betman 토토하게 되면 마치 유투브(YouTube) 사이트처럼 교묘하게 위장한 악성 사이트로 이동하게 되고, '광고 확장 추가' 버튼을 betman 토토하도록 유도하는 메시지가 보여집니다.

[그림 3] 재생버튼 betman 토토시 연결되는 유투브 위장 피싱 사이트 화면

해당 문구나 화면 등을 클릭하게 되면 'Depiv', 'Napeg' 등의 코덱 위장 확장 프로그램 설치를 유도하게 되는데, 앱의 권한이 '방문하는 웹 사이트의 전체 데이터 조회 및 변경' 처럼 매우 유해할 수 있다는 것을 확인할 수 있습니다.

[그림 4] 확장 프로그램 설치를 유도하는 화면

해당 확장 프로그램이 추가되면 betman 토토 로그인 화면을 띄어 계정 정보를 입력하게 만듭니다. 만약 크롬 브라우저에 이미 로그인이 된 상태라면 SNS 친구들에게 기존과 같은 악성 링크를 발송하게 되는 역할을 수행할 수 있습니다.

[그림 5] 확장프로그램 설치 이후 betman 토토 로그인 시도 화면

아직까지 해당 링크 전파 기능외에 계정정보 탈취 시도는 확인되지 않았지만, 공격자의 의도와 공격수법에 따라 언제든지 관련 정보가 외부로 노출될 가능성도 있으므로, 유사한 피해에 노출되지 않도록 각별한 주의가 필요합니다.

만약에 betman 토토 메신저를 통해 받은 악성 단축 URL 링크를 클릭하고, 확장 프로그램까지 설치한 경우에는 반드시 관련 확장 프로그램을 삭제하여야 합니다.

먼저 실행 중인 확장 프로그램의 프로세스를 종료해야 하기 때문에 크롬 브라우저 우측 상단에 설정 메뉴에서 '도구 더보기 - 작업 관리자'를 선택합니다.

[그림 6] 확장 프로그램 제거 설치 종 강제종료 과정

그 다음에 설치했던 확장 프로그램 'Depiv' 등을 찾아 프로세스를 강제로 종료시킵니다.

[그림 7] 확장 프로그램 프로세스 강제종료 화면

그런 후에 '도구 더보기 - 확장 프로그램' 메뉴를 선택하고, 해당 'Depiv' 확장 프로그램을 삭제하시면 됩니다.

[그림 8] 확장 프로그램 삭제 과정

다만 이 프로그램 이름은 설치될 때마다 조금씩 달라지고 있으므로, 자신이 설치한 프로그램이 아닐 경우 직접 찾아서 삭제하시면 됩니다.

[그림 9] 확장 프로그램 삭제 완료 화면

이런 방식의 betman 토토 피싱 기법은 광고수익을 얻거나 개인정보 탈취 등으로 악용되는 경우가 많으므로, 잘 알고 있던 지인이 보낸 URL 링크라도 함부로 클릭하지 말고, 보낸이에게 발송여부를 먼저 확인해 보는 습관이 중요합니다.