총 2,155건
QR 코드로 위장한 해커의 덫, 큐싱 사기 조심하세요!
코로나19 이후 QR코드 사용이 확산되면서, 큐싱(Qshing) 범죄가 작년 말부터 더 발전된 형태로 또다시 성행하고 있다. 큐싱은 오래 전부터 존재해왔던 공격 기법으로, 9년 전 안랩 시큐리티 레터에서도 큐싱에 대해 소개한 바 있다. 큐싱(Qshing)은 QR코드와 피싱(Phishing)의 합성어로, QR코드를 이용한 해킹 공격이다. 이는 사용자가 악성 QR코드를 촬영해 악성 앱을 내려 받거나, 악성 프로그램을 설치하도록 유도한다. 이번 글에서는 큐싱에 대해 경각심을 갖자는 의미에서 최신 큐싱 피해 사례와 예방법을 몇 가지 소개한다.
본론으로 들어가기에 앞서, 최근 세계 각국에서 유행 중인 큐싱 사례를 간단히 소개하면 다음과 같다.
#1 최근 중국에서는 가짜 QR코드를 포함한 주차 위반 딱지가 발견됐다. 앞 유리 와이퍼 아래 주차 위반 딱지가 있어 QR코드를 카메라로 스캔하고 연결된 앱에서 개인정보를 입력했는데, 알고 보니 가짜였다.
#2 스페인 마드리드에서는 공공자전거에 부착된 사기 QR코드가 발견됐다. 사용자들은 자전거 이용을 목적으로 로그인 및 결제하는 QR코드인 줄 알았지만, 사실은 피싱범들이 만든 사기 QR코드였다.
#3 미국에서는 주차장 요금 정산기의 QR코드를 악성 QR코드로 덮어 사람들이 주차 요금을 결제하려고 할 때마다 피싱에 말려들게 하는 수법이 기승을 부리고 있다.
모바일 피싱은 그동안 문자 메시지를 악용하는 경우가 많았다. 하지만 요즘에는 많은 사람들이 보안에 대한 인식이 높아져 메시지 본문에 포함된 URL을 섣불리 클릭하지 않는다. 이에 해커들은 악성코드 유포 및 개인정보 탈취를 위한 수단을 큐싱으로 전환한 것으로 보인다.
큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치를 유도해 각종 개인정보와 금융정보를 빼가는 공격 방식이다. 공식 QR코드 위에 가짜 QR코드 스티커를 붙이거나 가짜 QR코드를 온라인이나 문자 메시지 등으로 유포해 악성 앱을 설치하도록 유도하는 등 다양한 형태로 나타나고 있다.
최근에는 가상화폐를 이용한 큐싱 사례도 등장했다. 가상화폐를 무료로 주겠다고 유인하며 악성 QR코드를 제공하는 사례가 발견되고 있다. 피해자가 QR코드를 스캔한 뒤 가상화폐를 받기 위해 코인 지갑을 인증하면 지갑의 주소와 가상화폐를 탈취해가는 수법이다.
보안 업계에서는 큐싱 수법에 당하지 않기 위해 공공장소 또는 보안이 허술한 웹 사이트에 노출된 출처가 불분명한 QR코드 스캔 시 주의할 것을 당부한다. 아울러, 간혹 이메일로 QR코드 인증을 요구하는 경우도 있어 이메일에 포함된 QR코드도 웬만해서는 접속하지 말라고 조언한다.
전문가들은 혹시 QR코드를 스캔하더라도 악성 앱이 설치되지 않도록 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고, 최신 버전을 유지하는 것이 중요하다고 강조한다. 만일 악성 앱이 이미 설치된 경우, 스마트폰을 안전 모드로 부팅한 후 기기 관리자 권한을 비활성화하면 해당 앱을 삭제할 수 있다.
[그림 1] 최근 다시 부상하는 큐싱 사기
그렇다면 큐싱 사기로 인한 피해를 예방하려면 어떻게 해야할까? 그 방법을 아래와 같이 몇 가지 소개한다.
1. QR코드 위에 다른 QR코드가 덧입혀 있는지 확인한다
피싱 범죄자들이 기존 QR코드와 크기가 동일한 QR코드를 붙이는 사례가 종종 발견된다. 따라서QR코드가 이중으로 겹쳐져 있지는 않은지 확인할 필요가 있다. 특히 공공기물에 부착된 QR코드는 더 조심해야 한다.
2. 앱을 설치하라는 안내 문구를 의심한다
앱을 설치하라고 하는 안내 문구가 나온다면 큐싱 사기일 가능성이 매우 높으니 절대로 설치하면 안 된다. 링크나 QR을 통해서 스캔을 했는데 해당 문구가 나오면 바로 무시하고 설치를 중단해야 한다. 앱 설치는 공식 앱 스토어 외에는 설치하지 않는 것이 좋다.
3. 이메일을 통한 QR 인증 무시하기
이메일을 통해 발송되는 QR코드도 무시하는 것도 큐싱 피해를 예방하는 방법이다. 모르는 번호나 이메일에 QR코드가 삽입돼 있다면 큐싱일 가능성이 높다.
4. QR코드 스캔 후 사이트 주소 확인하기
스마트폰으로 QR코드를 스캔하면 일반적으로 연결되는 사이트 주소가 팝업 알림으로 뜬다. 이때 주소가 올바른 지 반드시 확인해야 한다. 사이트 주소 중 스펠링 하나만 바꿔 사용자에게 혼동을 줘 접속을 유도하는 사례가 빈번히 발생하고 있다.
5. 악성 앱이 설치된 경우 통신 기능 차단하기
혹시 실수로 악성 앱을 설치했다면 즉시 휴대폰을 비행기 보드로 바꿔 통신 기능을 차단해야 한다. 피싱 범죄자들이 휴대폰을 원격으로 제어하지 못하도록 막기 위함이다. 그런 다음, 최신 버전으로 업데이트된 백신 앱으로 휴대폰을 검사하고 악성 앱을 삭제해야 한다. 만약 앱이 삭제되지 않는다면 휴대폰 데이터를 백업한 뒤 초기화하는 것이 좋다.
6. 악성코드를 탐지하는 백신 프로그램 설치
악성코드를 탐지하는 백신 프로그램을 설치해도 큐싱 사기를 예방할 수 있다.
유명 게임핵 위장한 악성코드 주의하세요!
최근 안랩은 게임 핵(Game Hack) 배포 사이트에서 모네로(Monero) 코인을 채굴하는 XMRig 코인마이너가 유포 중인 정황을 확인했다. 이번 사례는 2022년 8월 공격자가 웹하드 플랫폼을 활용해 게임 설치 파일로 위장한 XMRig 코인마이너를 유포한 것과 유사하다는 점이 특징이다. 게임 핵을 통해 XMRig 코인마이너가 유포된 과정과 함께, 어떤 공격 수법이 사용됐는지 알아보자.
*게임 핵: 게임 내 스크립트를 해킹, 수정하여 원래와 다른 동작을 하도록 유도하는 용도로 사용되는 비인가 프로그램
XMRig 코인마이너의 유포 경로는 유명 게임들의 게임 핵을 배포하는 사이트로 확인됐다. 해당 사이트에는 다수의 유명 게임 핵으로 위장한 압축 파일이 업로드돼 있다. 공격자는 브라우저 보안 설정 또는 백신에 의한 다운로드 차단을 방지하고자 브라우저 파일 다운로드 차단 해제, 백신 종료 방법 등을 사이트에 명시함으로써 사용자의 악성코드 설치 및 실행을 유도한 것으로 알려졌다.
[그림 1] 게임 핵 배포 페이지 메인
[그림 2] 게임 핵 배포 다운로드 페이지
실제 게임 커뮤니티에서 해당 게임 핵을 검색했을 때 악성코드가 포함된 사실을 인지한 사용자들의 댓글이 다수 존재했다.
[그림 3] 게임 커뮤니티
사이트에 업로드된 압축 파일은 코인마이너를 설치하는 다운로더(Downloader)와 사용 설명서 텍스트 파일, 백신을 종료하는 악성코드를 포함한다. 게다가 공격자는 사용자가 피해 사실을 인지하지 못하고 직접 백신을 종료하도록 유도한다.
[그림 4] 업로드된 압축 파일 내부
[그림 5] 사용 설명서
공격 과정에 사용된 백신 종료 프로그램은 윈도우 디펜더(Windows Defender) 관리 프로그램인 dControl.exe이다. 공격자는 이 프로그램을 실행시켜 윈도우 디펜더 비활성화를 유도한다.
[그림 6] dControl.exe 실행 화면
코인마이너 실행을 위한 준비가 완료되면 loader.exe를 통해 코인마이너를 다운로드한다. 초기 다운로더는 오토핫키(AutoHotKey)로 제작된 프로그램으로, ‘%temp%’ 폴더 경로에 코인마이너를 설치 및 실행한다.
[그림 7] 다운로더 스크립트
실행된 코인마이너는 파워셸(PowerShell)을 통해 ‘ProgramData’ 경로에 .exe 확장자를 윈도우 디펜더가 스캔하지 못하도록 하고, 악성 소프트웨어 제거 도구(Windows MSRT) 업데이트를 비롯해 윈도우 업데이트 관련 서비스 등을 제거한다. 또한, 호스트 파일을 수정해 보안 솔루션 탐지를 우회하려고 시도한다.
이와 동시에 ‘%ProgramData%\Google\Chrome’ 경로에 ‘updater.exe’라는 파일명으로 자가 복제하고, ‘GoogleUpdateFile’의 서비스명으로 등록해 지속성을 유지한다.
[그림 8] 변조된 호스트 파일
이처럼 최근 게임 및 게임 핵이 악성코드 유포 경로로 빈번하게 악용되고 있다. 게임 핵의 경우, ‘loader.exe’와 같은 다운로더를 사용자가 주기적으로 실행해야 하는데, 이 과정에서 코인마이너 외에도 다른 악성코드가 설치될 수 있다. 출처가 불분명한 자료 공유 사이트에서 다운로드한 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 프로그램은 반드시 공식 홈페이지에서 다운로드할 것을 권장한다.
더 자세한 내용은 ASEC 블로그에서 확인할 수 있다.