포스팅 내용

악성코드 분석 리포트

게임 최적화 프로그램을 겨냥한 전자금융사기 조직 정황 포착, 사용자 주의!

게임 최적화 프로그램을 겨냥한 전자금융사기 조직 정황 포착, 사용자 주의!


최근 메모리 해킹 조직이 전자 금융 사기에 관여하는 등 파밍 공격 정황이 지속적으로 확인되고 있습니다. 오래 전부터 파밍 조직은 취약한 애드웨어 서버를 통해 은밀하게 악성코드를 유포해 왔으며, 이를 통해 많은 금전적 수익을 취득하고 있는 것으로 보입니다.


이스트시큐리티 시큐리티 대응센터(ESRC)는 보안 모니터링 중, 게임 최적화 프로그램 서버의 권한을 탈취해 파밍 악성코드를 유포한 정황을 포착했습니다.


온라인 게이머들은 게임을 쾌적하게 즐기기 위해 게임 최적화 프로그램을 널리 사용하고 있습니다. 사이버 공격자는 이러한 한국적 환경을 잘 파악해 맞춤형 표적화 공격에 사용한 것으로 예상됩니다. 해당 절차로 악성파일이 은밀히 유포될 경우, 게이머는 감염 사실을 쉽게 인지하기 어려워 상대적으로 보안위협에 노출될 확률이 커집니다.


※ 관련 글

- 총 없는 인터넷 은행 강도 ‘파밍’… 더욱 지능화된 수법으로 인터넷 뱅킹 사용자 계좌 노려 ▶ 자세히 보기

- 애드웨어 업데이트로 퍼지는 파밍 주의! ▶ 자세히 보기


공격자는 특정 운세 서비스 제공 사이트와 완구 전문 생산 사이트의 서버 권한을 무단 탈취한 후, 해당 서버 내에 존재하는 정상적 업데이트 모듈 URL 주소와 유사한 형태로 파밍 악성코드를 업로드했습니다. 


이와 함께 게임 최적화 프로그램 서버의 권한도 탈취하여 최신 업데이트 기능을 수행하는 URL의 특정 요소 값을 변경했습니다. 이후 이용자가 프로그램을 설치하거나 기존 사용자가 업데이트 기능을 실행할 때 자동으로 파밍 악성코드가 은밀히 설치되도록 조작했습니다.


 [그림 1] A 최적화 프로그램 업데이트 화면


[그림 2] B 게임 최적화 프로그램 업데이트 화면


상기 과정에서 파밍 악성코드에 감염될 경우, 피해자는 공격자가 미리 만들어 놓은 중국의 QQ사이트로 접속하게 됩니다. 이후 그 곳에 지정된 명령제어서버(C&C)용 IP주소를 가져와 파밍 사이트로 연결되도록 대기합니다. 


특히, 감염된 컴퓨터가 국내 주요 포털 사이트에 접속하면 아래와 같이 허위로 제작된 금융감독원 팝업창이 나타납니다. 만약 팝업 창에 현혹돼 가짜 사이트에 자신의 금융 개인 정보 등을 입력하면 예금 인출 피해로 이어질 수 있기 때문에 각별한 주의가 필요합니다.


 [그림 3] 금융감독원 “전자금융 사기예방서비스” 팝업창


더불어 해당 파밍 사이트에서는 기존의 휴대폰 번호, 이름 등과 함께 추가적으로 신분증 발행일자 정보를 요구하고 있습니다. 이는 피해자의 계좌에서 인출할 때 추가적으로 필요한 정보를 얻기 위한 것으로 추정됩니다.


[그림 4] 신분증발행일자 정보 입력 요구


또한 다른 변종을 살펴본 결과, 특정 카드 정보를 탈취하기 위해 팝업창에 일부 카드 회사를 포함한 경우도 확인할 수 있었습니다. 현재 정상적으로 연결은 이루어지지 않지만, 공격자의 의도에 따라 신용 카드 정보도 유출될 수 있어 각별한 주의가 필요합니다.


 [그림 5] 카드 정보 탈취 추정


최근 VenusLocker, AutoDecrypt, Sage, Cerber, Locky 등 각종 랜섬웨어가 국내에 기승을 부리면서 상대적으로 파밍에 대한 주의가 소홀해질 수 있습니다. 사실 한국에서 파밍과 같은 전자금융사기는 랜섬웨어보다 훨씬 더 오래된 대표적 보안 위협요소로 꼽을 수 있고, 지금도 꾸준히 활개를 치고 있습니다.


정상 프로그램을 해킹해 무단으로 파일을 변조하는 치밀한 기법부터 웹 사이트 취약점과 결합한 드라이브 바이 다운로드(Drive by download)까지, 악성코드는 은밀하고 다양한 경로를 통해 계속해서 유포되고 있습니다.


※ 관련 글

- 더욱 교묘해지고 있는 금융감독원 사칭 파밍 수법 ▶ 자세히 보기


따라서 컴퓨터 이용자는 신뢰할 수 있는 백신 프로그램을 설치하고 항상 최신 버전으로 유지함과 동시에 실시간 감시와 정기적 검사를 생활화하는 습관을 가져야 합니다. 또한 인터넷 뱅킹을 사용할 때에는 실제 정상적인 사이트인지 꼼꼼히 살펴보는 노력을 기울이시길 간곡히 당부 드립니다.


한편 통합 백신 알약(ALYac)에서는 해당 악성코드를 Spyware.PWS.KRBanker.acu로 탐지 및 치료하고 있습니다. 감사합니다.






티스토리 방명록 작성
name password homepage