본문 바로가기
AhnLab News

2015.10.12 안랩, 해외 유명 메신저 서비스 업데이트 프로그램 위장 파밍 악성코드 주의 당부

by 보안세상 2020. 4. 25.

- 인터넷 사용이 많은 추석 명절을 노려 악성코드 유포                                          

- 개인 정보 및 금융 정보 요구 사이트 각별한 주의 필요

 

 

"PC용 메신저 서비스 이용자 주의하세요!"

 

 

앞으로 PC용 메신저 서비스 이용자는 메신저 서비스의 업데이트 시 철저히 확인해 진행하는 것이 필요할 것으로 보인다.

 

안랩(대표 권치중, www.ahnlab.com)은 지난 추석 명절을 노려 해외 유명 메신저 서비스 업데이트 프로그램으로 위장해 파밍 공격을 시도하는 악성코드가 유포되었다며 사용자 주의를 당부했다

해당 악성코드는 드라이브 바이 다운로드(Drive-by-Download)(보충자료 참조) 방식으로 불특정 다수를 대상으로 유포됐다. 해당 악성코드에 감염되면 PC 공인인증서 경로 파일을 전송하고 DNS 서버와 인터넷 시작 페이지 변조(파밍)로 금융정보 탈취를 시도하여 금전 피해를 유발할 수 있다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

 

이 같은 피해를 줄이기 위해서 특히 개인정보 및 금융정보를 요구하는 사이트는 각별히 주의해야 한다. 또한 ▲의심되는 웹사이트 방문 자제 ▲출처가 불분명한 파일 다운로드 및 실행 금지 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

 

안랩 ASEC대응팀 박태환 팀장은 "이번 악성코드는 인터넷 사용이 많은 명절 시기를 노려 유포됐다”며, “사용자는 프로그램 설치/업데이트 시 공식 사이트를 이용하고 업데이트 내용 등을 꼼꼼히 확인하는 습관을 가지는 것이 중요하다" 고 말했다.

 

[악성코드 감염 과정]

악성코드가 사용자 PC에 다운로드 된 후 최초 실행되면 (악성)파일은 숨김으로 변경된다. 이후 사용자 PC는 공격자 서버에 연결되어 감염 PC의 공인인증서가 저장돼 있는 NPKI 경로(공인인증서 저장 경로) 파일을 압축해 전송한다.

 

또한 사용자가 인터넷 주소를 입력하면 이를 실제 웹사이트와 연결시켜주는 기능을 하는 DNS(도메인네임시스템) 서버와 인터넷 시작 페이지 등을 변조해 (사용자가 인터넷 익스플로러(IE)를 실행하면) 공격자가 꾸며 놓은 가짜 페이지로 연결되도록 했다.

 

이후 사용자의 개인 정보 및 금융 정보 입력을 유도하는 금융 기관 사칭 팝업창을 띄워 정보 탈취를 노린다. 만약 사용자가 개인 정보 및 금융 정보를 입력하게 되면 공격자의 서버로 해당 정보가 전송되며 최초 실행 과정에서 미리 탈취한 공인인증서와 함께 활용돼 실제 금전 피해를 유발할 수 있다.

 

<보충자료> 드라이브 바이 다운로드(Drive-by-Download)

이미 알려진 보안 취약점을 이용하여 불특정 다수에게 악성코드를 유포하는 방법 중 하나이다. 보안이 취약한 홈페이지를 공격자가 변조해, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 프로그램 등 다양한 프로그램의 취약점을 이용하는 악성코드를 심어놓고, 해당 홈페이지를 방문하는 사용자 중 해당 취약점에 대한 보안 패치가 되지 않은 사용자의 PC가 악성코드에 감염되는 방식이다.