포스팅 내용

악성코드 분석 리포트

가상화폐 거래소 설명서 글로 위장한 게시글, 가상화폐 이용자를 위협하다.


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 국내 가상화폐 커뮤니티 및 사이트 게시판에서 외국 가상화폐 사용 설명서 글로 위장된 게시물로 악성코드

를 유포하려는 정황이 포착되어 주의를 당부 드립니다.

 

공격자는 악성코드가 유포되는 사이트 주소와 함께 해외 코인거래소의 재정거래, 마진거래 등에 대한 설명과

용방법이 소개된 게시물을 작성하였습니다. 이를 통해 가상 화폐 거래에 관심 많은 이들을 현혹하려는 것으

로 보여집니다.

[그림 1] 커뮤니티에 올라온 가상화폐 설명서 게시물


만일 사용자가 호기심에 게시물에 표기된 주소로 접속할 경우, 가상 화폐 거래소 화면과 함께 취약점이 포함된 

스크립트가 은밀히 실행됩니다.


[그림 2] 가상화페 거래소로 위장한 화면


마치 가상화폐 거래소 화면처럼 교묘하게 위장된 웹 페이지는 내부적으로 악성 스크립트를 포함하고 있습니다.


[그림 3] 은밀하게 삽입된 악성 스크립트 중 일부


해당 악성 스크립트에 의해서 악성 파일들이 다운로드 됩니다


[그림 4] 감염에 사용되는 악성 파일들


만일 감염이 이루어질 경우, 중국 소재의 특정 서버로부터 원격제어 기능을 수행하는 모듈을 다운로드받고 한국에 위치한 공격자의 명령 제어 서버(C&C)로 연결합니다.


[그림 5] C&C 연결 시도


C&C에 정상적으로 접속이 이루어졌을 경우, 공격자의 의도에 따라 개인 정보 유출 등의 다양한 악의적인 행위가 수행될 수 있는 만큼 각별한 주의가 필요합니다.


[그림 6] 악의적인 행위 수행 코드


따라서 악성코드에 감염되지 않기 위해서는 출처가 불분명한 링크 혹은 사이트에 접속하지 않아야 합니다

또한 윈도우 보안 업데이트를 포함한 각종 애플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.

 

통합 백신 ‘알약’에서는 관련 악성코드를 Trojan.Agent.558080B’, ‘Backdoor.PcClient.gen’ 로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage