코드 시카라
Code Shikara코드 시카라는 도크봇 계열과 관련된 컴퓨터 웜으로 사회공학을 통해 공격한다.
타임라인
2011년 덴마크 사이버보안업체 CSIS가 이 강령을 처음 확인했다.AV기업 소포스는 2011년 11월 이 위협이 주로 소셜네트워크 페이스북을 통해 악성 링크를 통해 확산된다고 보도했다.[1][2]
비트디펜더랩스는 2013년 사용자의 검색 활동을 감시할 수 있는 웜을 잡아 차단하는 한편, 일반적으로 사이버 범죄로 알려진 개인 온라인/오프라인 정보 및/또는 자격 증명을 도용했다.이 감염은 원래 온라인 백업 서비스인 미디어파이어가 이 웜이 이미지 파일로 위장하여 배포되고 있다는 것을 감지한 것에 의해 플래그가 붙었다.미디어파이어는 잘못된 확장에도 불구하고 악성 이미지를 .exe 파일로 식별하는 데 성공했다.악성 시카라 코드는 .jpeg 이미지로 포즈를 취하지만 실제로 실행 가능한 파일이다.IRC 봇으로서, 악성코드는 제어 및 명령 서버에서 공격자에 의해 통합된다.사용자 이름과 암호를 도용하는 것 외에도, 봇 셰더는 추가적인 악성 프로그램 다운로드를 명령할 수도 있다.
그런 다음 MediaFire는 업데이트에서 부정확하고 오해의 소지가 있는 파일 확장자를 해결하기 위한 조치를 취했고, 이 업데이트는 특정 파일 형식을 식별하여 짧은 설명을 표시했다.이러한 특정 위협에 대한 사용자를 돕기 위해 파일 공유 서비스는 .jpg.exe, .png.exe 또는 .bmp.exe와 같은 이중 확장명을 가진 파일도 차단했다.일반적인 악성 프로그램인 백도어처럼IRCBot.Dorkbot은 피해자의 컴퓨터나 다른 관련 기기에 설치되면 스스로 업데이트를 할 수 있다.[3]
가장 큰 위험은 누군가의 페이스북 연락처가 이미 그들의 계정을 손상시켰을 수도 있고 (비밀번호 보안이 허술하거나 악성 어플리케이션에 대한 접근을 허가했기 때문에) 계정 사용자가 그들의 친구 중 한 명이 올린 것처럼 보이는 링크를 클릭함으로써 매력을 느꼈다는 것이다.
비록 링크가 이미지를 가리키는 것처럼 보이지만, 사실은 악의적인 화면 보호기가 금발 여성 두 명의 아이콘 뒤에 숨겨져 있다는 것이다.이 코드가 실행된 후, 그것은 손상된 특정 이스라엘 도메인에서 호스팅되는 추가 악성 소프트웨어를 다운로드하려고 시도한다.이 악성코드는 현재 이스라엘 웹사이트에 존재하지 않는다.남아 있는 것은 침입자들로부터 온 듯한 메시지로, 다음과 같이 말하고 있다.
- ExpLodeMa에 의해 해킹됨STer & By Ufuq
그들은 사이버 공격을 계속 확산시키기 위해 추가 또는 다른 웹사이트를 사용하고 있을 가능성이 높다.사용자들에게 악의적인 링크를 클릭하도록 속이는 다른 인기 있는 미끼로는 리한나나 테일러 스위프트 섹스테이프가 있다.[2][4]
통계
- 니제르: 카스퍼스키 사이버맵의 정보로 인해, 2017년 4월 시카라 스팸 코드는 77.51%로 니제르 국가 내 상위 1위를 차지하고 있다. 2위는 [5]14.7%로 언어 분석으로 훨씬 뒤쳐져 있다.
- 코드 시카라는 주로 다음 국가에서 순환한다(통계학 - 2017년 4월 22일).
- 아프가니스탄(81.27%)
- 루마니아(78.58%)
- 알제리(78.56%)
- 인도(78.46%)
- 니제르(77.51%)
- 터키(75.49%)
참고 항목
참조
- ^ "CSIS - Exceptional threat intelligence".
- ^ a b "Facebook worm poses as two blonde women". 29 November 2011.
- ^ "Dorkbot Malware Infects Facebook Users; Spies Browser Activities..." 14 May 2013.
- ^ "Facebook chat worm continues to spread". 5 December 2011.
- ^ a b "Kaspersky Cyberthreat real-time map".
