소프트웨어카탈로그 - 국내 최대 큐브릿지 IT 전문 쇼핑몰

최근 온라인 커뮤니티 사이트의 게시물을 이용해 파밍 악성코드를 유포한 사례가 발견됐다. 해당 게시물은 현재 사회적 관심이 집중된 이슈를 이용하는 사회공학기법으로, 국내 사용자들의 피해가 우려된다.

파밍(Pharming)은 사용자의 PC에 악성코드를 감염시켜 피싱 사이트에 접속하도록 유도하고 금융 정보, 개인 정보 등을 탈취하는 사이버 공격이다. 사용자가 파밍 악성코드에 감염된 PC를 이용해 은행 사이트에 접속할 경우, 금융감독위원회나 은행 사이트로 위장한 가짜 사이트로 연결되도록 조작해 주민등록번호, 계좌번호, 신용카드 등의 정보를 입력하도록 유도하여 탈취하고, 이를 이용해 불법 이체 등 금전적 피해를 야기한다.

이번에 발견된 파밍 악성코드는 다수의 국내 온라인 커뮤니티를 통해 유포되었으며, 공통적으로 최근 사회적 이목이 집중된 주제의 게시물을 이용했다. 공격자는 사회적인 이슈의 게시물을 이용해 온라인 커뮤니티 회원들의 관심을 끈 후, 본문 마지막에 출처로 위장한 링크를 클릭하도록 유도하고 있다. 해당 링크에 연결된 웹 페이지는 게시물 내용과 관련된 뉴스 기사와 함께 악성코드 유포 사이트가 삽입되어 있다.

사용자가 뉴스 기사를 읽는 동안 자신도 모르게 악성코드 유포 사이트에 연결되며 ‘드라이브-바이-다운로드(Drive-by-download)’ 방식에 의해 악성코드에 감염되는 것이다. 드라이브-바이-다운로드 방식이란, OS나 주요 소프트웨어의 보안 패치가 적용되지 않아 취약점이 존재하는 상태에서 사용자가 해킹 또는 허위로 제작된 악성 웹사이트를 방문하면 자동으로 악성코드에 감염되는 방식이다.

이렇게 사용자 PC에 유입된 악성코드는 PC의 시작프로그램 및 윈도우 방화벽 예외 정책을 수정하고, 특정한 공격자의 C&C 서버와의 연결을 시도한다. 또 인터넷 익스플로러 웹브라우저의 시작 페이지를 포털 사이트 주소로 변경하는데, 이때 자동 구성 스크립트를 수정한다. 이후 사용자가 인터넷 익스플로러를 실행하면 금융감독원 등을 사칭하는, 상당히 익숙한(?) 그림과 같은 팝업 창을 통해 사용자를 피싱 사이트로 유도하고, 주민등록번호, 계좌번호, 비밀번호 등 민감한 정보를 입력하게 한다.

▲ 허위 팝업 창
　

V3 제품에서는 아래와 같은 진단명으로 해당 파밍 악성코드를 탐지하고 있다.

<V3 제품군의 진단명>
Trojan/Win32.Banbra (2016.11.10.04)

사용자의 금융 정보를 노리는 파밍 공격이 계속되고 있을 뿐만 아니라 최근에는 온오프라인을 연계하는 등 다양한 형태로 진화하고 있다. 특히 이번 사례와 같은 파밍 공격을 예방하기 위해서는 보안 업데이트를 설치하여 드라이브-바이 다운로드(Drive-by-download) 공격을 막고, 출처가 불분명한 사이트 접속에 주의하며 백신 제품의 엔진을 최신으로 유지하는 사용자의 올바른 습관이 필요하다.

[출처 : 안랩((www.ahnlab.com)]

사무용품

식음료

생활용품

산업자재

디지털

생활가전

소프트웨어

서비스