마이크로소프트(MS)가 유로폴 유럽 사이버범죄센터, 미국 연방수사국(FBI)과 손잡고 '제로액세스' 봇넷(좀비PC 네트워크) 퇴치에 나섰다.
제로액세스는 트로이 목마의 일종으로 클릭 사기를 유발하고, 사용자 몰래 비트코인 채굴 프로그램을 돌리도록 허용한다. 공격자들을 해당 악성코드에 감염된 좀비PC들을 네트워크로 연결해 봇넷을 구축한다.
6일(현지시간) 미국 지디넷 등 외신은 MS 디지털범죄대응단(DCU)이 이러한 협력방안을 진행키로 했다고 보도했다.
MS에 따르면 제로액세스는 구글, 빙, 야후 등 주요 검색엔진 사용자들을 공격대상으로 삼는다. 제로엑세스에 감염된 PC에서 검색결과에 나오는 링크 주소를 클릭하면 악성 웹사이트로 연결돼 추가적인 악성파일이 설치된다.
그 뒤 자동으로 광고 클릭을 유도해 클릭 당 비용을 지불하는 온라인 광고업자들에게 피해를 입힌다. MS에 따르면 이러한 수법을 통해 온라인 광고업자들이 피해를 입은 금액은 270만달러에 달하는 것으로 추정된다.
제로액세스에 감염된 PC들은 최근 주목받고 있는 가상화폐 비트코인 채굴용 프로그램을 사용자 몰래 돌리는데 활용되기도 한다. 이밖에도 가짜 백신을 설치해 추가적인 공격을 유발한다.
MS에 따르면 현재까지 200만대 PC가 제로액세스에 감염돼 봇넷을 이루고 있는 것으로 추정되며 49개 도메인이 제로액세스에 연루된 것으로 확인되고 있다.
DCU 소속 리차드 도밍구스 보스코비치 연구원은 제로액세스는 모든 주요 검색 엔진과 웹브라우저를 공격대상으로 한다며 현재 활동하고 있는 가장 강력하고, 견고한 봇넷이다고 말했다.
관련기사
- MS-FBI, 5억달러 훔친 봇넷 일망타진2013.12.06
- 탈옥·아이봇넷…애플 해킹의 모든 것2013.12.06
- 포티넷 "디지털 화폐 훔치는 봇넷 급증"2013.12.06
- 좀비 스마트폰 만드는 악성 스팸봇넷 발견2013.12.06
시만텍에 따르면 이 봇넷은 추적이나 차단을 피하기 위해 P2P 통신을 활용하며 악성 서버 한 곳이 차단되더라도 다른 서버로 대체할 수 있도록 구성됐다. 감염과정에서도 PC 운영체제(OS)가 작동하기 전에 실행되는 '루트킷'을 활용해 백신 탐지 등을 회피한다.
DCU 책임자인 데이비드 핀 이사는 앞으로 사기에 악용된 PC를 접속중단시키고 감염치료를 위한 협조를 부탁한다고 말했다.
