본문 바로가기
AhnLab 보안in

주민등록번호까지 확인하는 변종 파밍 사이트 발견!

by 보안세상 2020. 4. 16.

2013.03.18

 

신종 금융사기인 ‘파밍(Pharming)’으로 인한 피해가 계속됨에 따라 금융감독원·금융위원회·경찰청이 합동 경보를 발령한 가운데, 최근 사용자의 이름과 주민등록번호까지 확인하는 변종 악성코드가 발견됐다. 파밍 수법이 점차 고도화되고 있다는 증거라는 점에서 사용자들의 각별한 주의가 필요하다.

 

 

파밍이란, 사용자의 컴퓨터가 악성코드에 감염되어 정상적인 방법으로 금융기관 사이트에 접속해도 가짜 뱅킹 사이트로 연결되어 보안카드 번호, 계좌 비밀번호 등의 금융정보를 사용자 스스로 악성코드 제작자에게 제공하는 형태의 보안 위협이다. 지난해 말부터 파밍으로 인한 피해가 급증하면서 사회적인 문제로 대두되고 있다.  

 

 

이번에 발견된 변종은 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염됐다.  유포지와 [9090.exe] 다운로더에 의해 생성된 파일은 [그림 1]과 같다.

 

[Download URL]
http://125.***.***.5/9090.exe (Downloder)
http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)
http://125.***.***.4:8080/26.exe (hosts 파일 변조)
http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)
http://125.***.***.5/23.exe (hosts 파일 변조)

[그림 1] 뱅키 변종의 유포지와 생성된 파일



다운로드된 [26.exe], [23.exe] 악성파일에 의해 hosts 파일이 변조되는데, 이 때문에 정상적인 뱅킹 사이트에 접근해도 가짜 사이트에 접속된다. 이 가짜 사이트는 정상 사이트와 구분이 어려울 정도로 비슷한 구성을 하고 있기 때문에 사용자는 피싱 사이트임을 눈치채기 어렵다.

 

 

[그림 2]는 악성코드에 감염된 PC에서 뱅킹 사이트에 접속한 모습이다. 주소창에 직접 은행 주소를 입력하거나, 포털 사이트에서 은행 이름을 검색하는 등의 정상적인 방법으로 접속했지만 공격자가 의도한 피싱 사이트로 연결됐다. 이들 피싱 사이트는 하나같이 보안 관련 인증 절차를 요구하며 사용자로 하여금 금융정보를 입력하도록 유도한다.

 

 

 

[그림 2] 피싱 사이트들

이번에 발견된 변종의 특징은 사용자의 개인정보가 정상적으로 입력됐는지 확인하는 기능이 추가됐다는 점이다. 기존에는 임의의 문자와 랜덤한 숫자를 입력해도 다음 단계로 넘어갈 수 있었는데, 이 변종은 정확한 개인정보 탈취를 위해 사용자의 이름과 주민등록번호를 다시 한 번 확인했다.

 

[그림 3] 이름과 주민등록번호를 확인하는 소스 부분

 

이러한 파밍에 의한 피해를 막기 위해서는 사용자들의 주의가 무엇보다 중요하다. 무리한 개인정보를 요구할 경우 일단 의심을 해야 한다. 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍 사기라고 보는 것이 좋다. 최신 엔진 버전의 백신 프로그램으로 시스템을 주기적으로 정밀 검사하고, 인터넷 뱅킹을 할 때는 백신 검사를 먼저 실행한 뒤 이용하는 습관을 길러 이로 인한 피해를 예방해야 한다.

 

 

해당 악성코드는 V3 제품에서 진단 및 치료가 가능하다. <Ahn>

* 이 글의 원문은 안랩홈페이지에서 확인하실 수 있습니다.