애드웨어 서버 파일 변조로 유포되는 파밍 악성코드 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 

특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다.

[그림 1] 특정 제휴 프로그램 다운로더 화면

이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. 

[그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조

따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파밍 악성코드에 감염이 이루어 집니다.

게임 최적화 프로그램을 겨냥한 전자금융사기 조직 정황 포착, 사용자 주의!

▶ http://blog.alyac.co.kr/1088

애드웨어 설치 이후 업데이트 기능으로 파밍 악성코드가 다운로드되어 실행 될 경우 특정 포털 사이트 접속 시 다음과 같이 금융감독원을 사칭한 팝업창이 나타나면서 '보안관련 인증절차를 진행하고 있습니다.'와 같은 허위 문구로 파밍 사이트 접속을 유도합니다.

[그림 3] 금융감독원 사칭 팝업 피싱 화면

이용자가 해당 화면에 현혹돼 은행 사이트에 접속할 경우 각종 개인 금융정보 입력을 유도합니다. 최종적으로 보안카드 혹은 OTP 번호까지 입력을 마쳤을 경우 해커에게 관련 정보들이 전송되고, 금전적 손실이 발생할 수 있어 주의가 요구됩니다.

[그림 4] 금융정보 입력유도 피싱 사이트 화면

이번 사례와 같이 애드웨어 서버의 업데이트 파일을 변조해 파밍 악성코드를 유포하는 방법의 경우 Drive By Download 기법과 달리 PC에 취약점이 존재하지 않아도 무작위로 감염되기 쉽습니다. 

따라서 주요 프로그램은 반드시 공식 웹 사이트에서 설치하고, 신뢰할 수 있는 백신프로그램을 사용하고 항시 최신 버전으로 업데이트하고 정기적으로 검사하는 보안 습관을 준수해주시기 바랍니다.

현재 알약 제품에서는 해당 악성파일을 'Trojan.GenericKD.5695656' 탐지명으로 진단 및 치료하고 있습니다.