해커스, 해커스잡, 해커스텝스 4주째 악성코드 유포중

아주경제 장윤정 기자 =  토익 등 영어 전문학원 웹사이트 해커스, 해커스잡, 해커스텝스 등에 악성코드가 삽입돼 모든 방문자들에게 악성코드를 감염시키고 있다.

연초 영어공부를 시작하려는 직장인과 방학을 맞은 학생 등 사이트 방문자들의 피해가 우려된다. 

4주전부터 현재까지 해커스 사이트의 악성코드 유포는 멈추지 않는 상태다. 

빛스캔은 해커스(hackers), 해커스잡(hackersjob), 해커스텝스(hackerteps) 등에 악성코드가 삽입돼 방문자들에게 악성코드 감염을 시도하고 있다고 23일 밝혔다.

초기 해커스, 해커스잡, 해커스텝스 악성코드 유포 사실은 지난 12월 29일부터 1월 3일까지 각각 악성링크가 삽입, 모든 방문자들을 대상으로 악성코드 감염을 시도하는 현상이 탐지 된 바 있다. 이후 일시적인 소강상태를 보인 후, 이달 16일부터 다시 활발한 악성코드 감염에 이용되는 상황이 관찰됐다.

현재까지도 악성코드의 유포는 꾸준하게 관찰되고 있어서, 감염 비율이 높을 것으로 예상되고 있다.

감염에 이용되는 악성파일에 대해 VT(Virus Total)을 통해 백신 탐지 여부를 확인한 결과 미 보고된 악성파일도 포함이 되어있었으며, 알려진 악성파일조차도 국내 백신만을 탐지 회피하는 현상이 관찰됨에 따라 전형적인 국내 사용자들을 대상으로 한 감염으로 확인이 되고 있다.
 

해커스 사이트에서 악성코드가 유포된 흔적

빛스캔측은 :악성링크가 자유자재로 웹서비스 소스에 추가가 된다는 것은 이미 서버에 대한 모든 권한을 공격자가 확보하고 있다는 점"이라며 "권한을 확보했다는 것은 내부 회원정보나 데이터베이스에 대한 대부분의 정보도 공격자가 보유하고 있다는 것과 동일하다고 볼 수 있다"고 설명했다.

공격에 이용된 악성링크가 추가된 소스는해커스 어학원 전체 서비스에서 사용이 되는 것으로 추정되는 공용 Js 파일부분도 있어서 피해 범위는 더 넓을 것으로 추정된다.

방문자 PC의 공격에 직접 이용되는 악성링크 확인결과 난독화를 통해 암호화가 되어있었으며 최종적으로 Java 7종, IE 1종, Flash 1종류의 취약성을 공격하는 공다팩(Gondad Pack)으로 확인됐다.

지난해 12월 29일 이 후 해커스는 계속 악성링크를 유포하는 유포지 역할을 하고 있으며 12월 31일에 발견된 악성링크는 플래시 링크를 이용, 악성링크를 삽입한 정황까지 확인 된 상황이다. 플래시 코드까지 변조, 공격에 이용할 정도로 탐지를 회피하고 감염율을 높이기 위해 다양한 시도들을 실행하고 있는 상황에서 여전히 악성코드 감염의 숙주로 이용되는 상황은 국내의 좀비PC 확산에 우려를 가질 수 밖에 없다.

해커스 사이트는 현재 익스플로러 외에 구글 크롬, 파이어폭스를 통해 접속하면 경고창을 통해 사이트 접근의위험성이 나타나고 있다. 현재도 매주 2천에서 3천여개의 웹서비스들이반복적으로 악성코드감염을 위한 숙주로 활용되고 있다.
 

해커스 사이트는 현재 익스플로러 외에 구글 크롬, 파이어폭스를 통해 접속하면 경고창을 통해 사이트 접근의위험성이 나타나고 있다

빛스캔 관계자는 "유포지로 활용되고 있다는 점은 이미 공격자에게 모든 권한이 넘어간 상태에서 원격에서 조정이 가능한 웹쉘이나백도어들을 이용한 추가적인 피해도 발생될 수 있다는 점을 잊어선 안된다"고 경고했다.

또 "지난 12월부터 현재까지 해커스 어학원 및 관련 사이트를 방문한 사용자들은 최신 업데이트가 적용된 백신을 이용, 정밀진단을 실행하는 것이 좋다. 기본적으로 MS의 보안패치와 자바, 플래시에 대한 보안패치가 최신상태를 유지하고 있어야 좀비PC화 되는 것을 조금이라도 예방 할 수 있다"고 덧붙였다.