2015.03.20

안랩, 정상 유틸리티 프로그램 악용한 파밍 악성코드 주의 당부

편집부 | CIO KR
최근 정상 유틸리티 프로그램을 악용해 파밍 공격을 시도하는 악성코드가 발견돼 주의가 필요하다고 안랩이 밝혔다.

해당 악성코드는 취약점을 가진 프로그램을 이용하는 사람이 해킹된 웹사이트에 방문하면 자동으로 PC에 다운로드 된다. 특히, 공격자는 정상 유틸리티 프로그램의 취약점을 악용하여 악성 행위 파일을 실행시키고, 감염 이후에는 파밍 공격을 시도해 사용자의 금융정보를 탈취하므로 더욱 주의가 필요하다.



먼저 공격자는 보안이 취약한 웹 사이트들을 해킹해 ‘드라이브 바이 다운로드(Drive-by-Download)’ 방식으로 악성코드를 유포했다. 즉, 사용자가 특정 소프트웨어를 업데이트하지 않은 상태에서 해당 사이트를 방문하기만 해도, 공격자가 미리 웹사이트에 삽입해 놓은 볼륨 조절 관련 정상 유틸리티 프로그램과 악성 dll 파일이 동시에 다운로드 된다.

이후 유틸리티 프로그램이 자동 실행되면서 함께 다운로드된 악성 dll 파일을 불러와 악성행위를 시작한다. 이는 해당 정상 유틸리티 프로그램이 dll 파일을 실행할 때 파일의 진위 여부를 검증하지 않는다는 점을 노린 것이다. 즉, 함께 다운로드된 dll 파일이 정상 파일과 파일명만 같다면 진위여부 검증절차 없이 PC에서 실행하는 것이다.

해당 악성코드는 공인인증서를 유출하고, 인터넷 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는 DNS(도메인네임시스템) 정보를 담고 있는 메모리 영역을 변조해 사용자가 정상 포털이나 금융기관 등의 사이트를 방문해도 가짜 사이트로 연결한다. 구분이 어려울 정도로 정교하게 만들어진 가짜 사이트에서는 금융기관을 사칭해 보안카드 등의 정보를 입력하도록 유도해 금융 피해를 일으킬 수 있으므로 주의해야 한다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

이 같은 피해를 줄이려면 ▲의심되는 웹사이트 방문 자제 ▲OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션(어도비, 자바 등), 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

안랩 ASEC대응팀 박태환 팀장은 “공격자는 악성코드를 쉽게 유포하기 위해 다양한 취약점을 노린다”며 “사용자는 백신을 비롯해 사용하고 있는 모든 소프트웨어를 최신 버전으로 유지하는 등 기본 보안수칙을 생활화하는 습관을 가져야 한다”라고 당부했다. ciokr@idg.co.kr



2015.03.20

안랩, 정상 유틸리티 프로그램 악용한 파밍 악성코드 주의 당부

편집부 | CIO KR
최근 정상 유틸리티 프로그램을 악용해 파밍 공격을 시도하는 악성코드가 발견돼 주의가 필요하다고 안랩이 밝혔다.

해당 악성코드는 취약점을 가진 프로그램을 이용하는 사람이 해킹된 웹사이트에 방문하면 자동으로 PC에 다운로드 된다. 특히, 공격자는 정상 유틸리티 프로그램의 취약점을 악용하여 악성 행위 파일을 실행시키고, 감염 이후에는 파밍 공격을 시도해 사용자의 금융정보를 탈취하므로 더욱 주의가 필요하다.



먼저 공격자는 보안이 취약한 웹 사이트들을 해킹해 ‘드라이브 바이 다운로드(Drive-by-Download)’ 방식으로 악성코드를 유포했다. 즉, 사용자가 특정 소프트웨어를 업데이트하지 않은 상태에서 해당 사이트를 방문하기만 해도, 공격자가 미리 웹사이트에 삽입해 놓은 볼륨 조절 관련 정상 유틸리티 프로그램과 악성 dll 파일이 동시에 다운로드 된다.

이후 유틸리티 프로그램이 자동 실행되면서 함께 다운로드된 악성 dll 파일을 불러와 악성행위를 시작한다. 이는 해당 정상 유틸리티 프로그램이 dll 파일을 실행할 때 파일의 진위 여부를 검증하지 않는다는 점을 노린 것이다. 즉, 함께 다운로드된 dll 파일이 정상 파일과 파일명만 같다면 진위여부 검증절차 없이 PC에서 실행하는 것이다.

해당 악성코드는 공인인증서를 유출하고, 인터넷 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는 DNS(도메인네임시스템) 정보를 담고 있는 메모리 영역을 변조해 사용자가 정상 포털이나 금융기관 등의 사이트를 방문해도 가짜 사이트로 연결한다. 구분이 어려울 정도로 정교하게 만들어진 가짜 사이트에서는 금융기관을 사칭해 보안카드 등의 정보를 입력하도록 유도해 금융 피해를 일으킬 수 있으므로 주의해야 한다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

이 같은 피해를 줄이려면 ▲의심되는 웹사이트 방문 자제 ▲OS 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션(어도비, 자바 등), 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

안랩 ASEC대응팀 박태환 팀장은 “공격자는 악성코드를 쉽게 유포하기 위해 다양한 취약점을 노린다”며 “사용자는 백신을 비롯해 사용하고 있는 모든 소프트웨어를 최신 버전으로 유지하는 등 기본 보안수칙을 생활화하는 습관을 가져야 한다”라고 당부했다. ciokr@idg.co.kr

X