3월 5일 NSHC(대표 허영일) Red Alert팀에서 DNS Cache 조작 및 ‘hosts.ics’를 생성해 사용자로 하여금 변조 웹 페이지로 접근을 유도하는 악성코드에 대해 상세 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.
인터넷 뱅킹 파밍용 악성코드가 지속적으로 유포되고 있어 각별한 주의가 요구됩니다. 이 악성코드는 DNS Cache 조작 및 hosts.ics를 생성해 사용자로 하여금 변조 웹 페이지로 접근을 유도합니다. 변조 웹 페이지는 실명정보, 계좌정보, 인터넷 뱅킹 계정정보, 보안카드 정보 입력을 유도해 사용자 정보를 탈취하게 됩니다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요합니다.
상세보고서를 발표한 Red Alert팀은 “악성코드가 시스템에 감염되면 hosts 파일이 변조되고 hosts.ics 파일이 생성된다. 이를 통해 특정 레지스트리 키 값을 변조해 IE의 시작 페이지를 변경시킨다. 이때 사용자가 인터넷을 실행사면 공격자 서버의 변조된 시작 페이지에 접속된다”고 설명했습니다. 즉 변조된 페이지의 팝업을 통해 파밍용 인터넷뱅킹 페이지에 접속을 유도하는 것입니다.
시작 페이지 및 각종 포털 사이트, 인터넷 뱅킹 사이트를 파밍하기 위해 hosts.ics에 기록된 URL 리스트도 공개하고 있습니다.
Red Alert팀은 “인터넷 뱅킹 파밍에 관련된 악성코드가 지속적으로 유포되고 있다. IP정보를 특정 페이지에서 동적으로 파싱해 동작하는 것은 기존에 보고되었던 내용과 매우 유사한 형태를 띄고 있다”며 “파밍 페이지의 경우 일반 사용자들은 구분하기 어렵기 때문에 은행에서 제공하는 보안정책을 이용해 추가 인증을 하기를 권고한다. 또한 은행에서는 보안카드 전에 일련번호와 전체 번호를 요구하지 않는 다는 점을 명심해야 한다”고 강조했습니다.
출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)
'해킹, 보안' 카테고리의 다른 글
QQGamePass 악성코드 분석 보고서 (0) | 2014.04.10 |
---|---|
G-PRIVACY 2014 컨퍼런스 (0) | 2014.03.12 |
해킹으로 인한 대규모 개인정보 유출사건 일지 (0) | 2014.03.07 |
IE취약점 CVE-2013-3897 인터넷 뱅킹 파밍 악성코드 분석 보고서 (0) | 2014.03.06 |
다음 카페 서비스로 위장한 악성 앱 스미싱 분석 보고서 (0) | 2014.02.26 |