[사이트 변조] iframe 태그를 이용한 악성코드 다운로드 방식 주의!!

기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.

하지만 이번에 확인 된 변조사이트는 취약점으로 인한 감염이 아니라 iframe 태그에 악성파일(exe) 주소를 직접 넣어 

사용자가 다운로드 받을 수 있게 변조되는 사이트들이 늘어 나고 있다.

이렇게 되면 사용자PC에 취약점이 존재하지 않더라도, 사용자의 클릭으로 감염 시킬 수 있는 장점이 생긴다.

(물론 강제 설치가 아니기 때문에, 감염 속도에는 조금 느리겠지만 ㅎㅎㅎ)

요게 원래는 5월 말정도에 나온 내용이였는데 ㅠㅠ 이제야 포스트를 하게 된다.

암튼, 중요한 사항은 이게 아니라 ㅎㅎㅎ

아래의 그림을 보면 알겠지만, 코드는 아주 심플하다.

그냥 exe 주소만을 iframe 태그를 사용하여 삽입시켜두었다.

해당 변조 사이트에 접속 시 아래와 같이 브라우저에 다운로드 창이 생성이 되니, 사용자가 조금만 주의하면 방지할 수 있습니다.

해당 파일을 설치할 시에는 안티바이러스를 종료시키고, 특정 서버에 접속하여 오퍼의 명령을 받게 됩니다.

알약에서는 해당 파일을 Backdoor.Agent.PC 로 탐지하오니 실시간 감시를 항상 On으로 켜두시기 바랍니다^^