페이스북 메신저로 받은 악성 단축 벳네온 클릭 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

8월 16일 오전부터 가짜 동영상 화면으로 위장된 악성 벳네온 링크가 페이스북(Facebook) 메신저를 통해 무작위로 전파되고 있어 각별한 주의가 필요합니다.

크롬(Chrome) 웹 브라우저가 활성화되어 있고, 페이스북이 로그인되어 있는 상태일 경우 감염된 페이스북 메신저로 부터 비디오 동영상 링크처럼 위장된 단축 벳네온 주소가 전송되어 집니다.

[그림 1] 페이스북 메신저로 전송된 악성 단축 벳네온 링크 화면

만약, 페이스북 친구가 메신저로 보낸 해당 단축 벳네온 링크를 클릭하게 되면 보낸이의 프로필 사진으로 위장한 구글 DOC 사이트로 연결되고 재생버튼을 클릭하도록 유인합니다.

[그림 2] 단축 벳네온 링크를 클릭시 연결되는 docs.google.com 화면

이용자가 재생버튼을 클릭하게 되면 마치 유투브(YouTube) 사이트처럼 교묘하게 위장한 악성 사이트로 이동하게 되고, '광고 확장 추가' 버튼을 클릭하도록 유도하는 메시지가 보여집니다.

[그림 3] 재생버튼 클릭시 연결되는 유투브 위장 피싱 사이트 화면

해당 문구나 화면 등을 클릭하게 되면 'Depiv', 'Napeg' 등의 코덱 위장 확장 벳네온 설치를 유도하게 되는데, 앱의 권한이 '방문하는 웹 사이트의 전체 데이터 조회 및 변경' 처럼 매우 유해할 수 있다는 것을 확인할 수 있습니다.

[그림 4] 확장 벳네온 설치를 유도하는 화면

해당 확장 벳네온이 추가되면 페이스북 로그인 화면을 띄어 계정 정보를 입력하게 만듭니다. 만약 크롬 브라우저에 이미 로그인이 된 상태라면 SNS 친구들에게 기존과 같은 악성 링크를 발송하게 되는 역할을 수행할 수 있습니다.

[그림 5] 확장벳네온 설치 이후 페이스북 로그인 시도 화면

아직까지 해당 링크 전파 기능외에 계정정보 탈취 시도는 확인되지 않았지만, 공격자의 의도와 공격수법에 따라 언제든지 관련 정보가 외부로 노출될 가능성도 있으므로, 유사한 피해에 노출되지 않도록 각별한 주의가 필요합니다.

만약에 페이스북 메신저를 통해 받은 악성 단축 벳네온 링크를 클릭하고, 확장 프로그램까지 설치한 경우에는 반드시 관련 확장 프로그램을 삭제하여야 합니다.

먼저 실행 중인 확장 벳네온의 프로세스를 종료해야 하기 때문에 크롬 브라우저 우측 상단에 설정 메뉴에서 '도구 더보기 -> 작업 관리자'를 선택합니다.

[그림 6] 확장 벳네온 제거 설치 종 강제종료 과정

그 다음에 설치했던 확장 벳네온 'Depiv' 등을 찾아 프로세스를 강제로 종료시킵니다.

[그림 7] 확장 벳네온 프로세스 강제종료 화면

그런 후에 '도구 더보기 -> 확장 벳네온' 메뉴를 선택하고, 해당 'Depiv' 확장 벳네온을 삭제하시면 됩니다.

[그림 8] 확장 벳네온 삭제 과정

다만 이 벳네온 이름은 설치될 때마다 조금씩 달라지고 있으므로, 자신이 설치한 벳네온이 아닐 경우 직접 찾아서 삭제하시면 됩니다.

[그림 9] 확장 벳네온 삭제 완료 화면

이런 방식의 페이스북 피싱 기법은 광고수익을 얻거나 개인정보 탈취 등으로 악용되는 경우가 많으므로, 잘 알고 있던 지인이 보낸 벳네온 링크라도 함부로 클릭하지 말고, 보낸이에게 발송여부를 먼저 확인해 보는 습관이 중요합니다.