사이버 범죄자들은 EXIF(Exchangeable Image File Format) 데이터에 멀웨어 코드를 숨기는 기존 트릭에 새로운 방법을 추가하고 있다. 최근 공격자가 텍스트 파일이 아닌 이미지 파일에서 이 기술을 사용해 googleusercontent.com 서버에 업로드하는 것이 확인되었다.

7월 18일 Sucuri의 회사 블로그에서 선임 멀웨어 연구원 데니스 시네굽코(Denis Sinegubko)는 Packman.jpg 이미지의 EXIF 코드를 사용해 페이팔(Paypal) 보안 토큰을 도용하거나 웹쉘 및 임의 파일을 업로드하고 변조페이지를 삽입해 악의적인 웹사이트 주소와 통신하는 사례를 설명했다.

이 이미지는 블로거 또는 Google+ 계정을 통해 구글 서버에 업로드되었으며 손상된 웹사이트에서 쉽게 다운로드할 수 있다. 시네굽코에 따르면 이 방법은 패스트빈(Pastebin) 및 깃허브(github)에 저장된 텍스트파일과 함께 EXIF를 사용하는 이전 기술보다 효과적이다.

그는 “이미지의 메타 데이터를 확인하고 각각의 특정 경우에 해독하는 방법을 알고 있는 경우를 제외하고는 당신은 악성 페이로드에 대해 전혀 알 수가 없다. 게다가 대부분의 도구가 저작권 침해 콘텐츠가 포함된 포함된 원래 게시물, 페이지 또는 댓글에 대한 링크를 제공해야하기 때문에 googleusercontent.com의 악성코드를 구글에 신고하는 것은 매우 어렵다”고 설명한다.

★정보보안 대표 미디어 데일리시큐!★