안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다. [그림 1] 특정 제휴 프로그램 다운로더 화면 이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. [그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조 따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파..

악성코드 분석 리포트 2017. 8. 22. 14:44

게임 최적화 프로그램을 겨냥한 전자금융사기 조직 정황 포착, 사용자 주의! 최근 메모리 해킹 조직이 전자 금융 사기에 관여하는 등 파밍 공격 정황이 지속적으로 확인되고 있습니다. 오래 전부터 파밍 조직은 취약한 애드웨어 서버를 통해 은밀하게 악성코드를 유포해 왔으며, 이를 통해 많은 금전적 수익을 취득하고 있는 것으로 보입니다. 이스트시큐리티 시큐리티 대응센터(ESRC)는 보안 모니터링 중, 게임 최적화 프로그램 서버의 권한을 탈취해 파밍 악성코드를 유포한 정황을 포착했습니다. 온라인 게이머들은 게임을 쾌적하게 즐기기 위해 게임 최적화 프로그램을 널리 사용하고 있습니다. 사이버 공격자는 이러한 한국적 환경을 잘 파악해 맞춤형 표적화 공격에 사용한 것으로 예상됩니다. 해당 절차로 악성파일이 은밀히 유포될 ..

악성코드 분석 리포트 2017. 5. 11. 11:26

총 없는 인터넷 은행 강도 ‘파밍’… 더욱 지능화된 수법으로 인터넷 뱅킹 사용자 계좌 노려 ▲ 금융감독원 사칭 ‘금융사기 척결 특별대책’ 신종 파밍 공격 흐름도 안녕하세요. 이스트시큐리티입니다.주요 포털 사이트에 접속하면 해커가 미리 설정해둔 가짜 안내창을 띄워 사용자에게 금융 정보 입력을 요구하는 전자금융 사기 기법인 ‘파밍(Pharming)’이, 최근 더욱 진화된 형태의 공격 수법을 사용하고 있는 것으로 나타났습니다. 해당 파밍 공격은 사용자 PC의 DNS를 직접 변조해 위조된 포털 사이트로 접속하게 하는 진화된 형태를 띄고 있습니다. 따라서 인터넷 뱅킹 사용자의 각별한 주의를 당부 드립니다. 특히 새롭게 발견된 파밍 공격은 호스트(hosts) 파일을 변조하던 기존 방식과 달리, 사용자 PC의 네트워..

악성코드 분석 리포트 2017. 3. 21. 18:04

애드웨어 업데이트로 퍼지는 파밍 주의! 개요 인터넷 이용자들이 특정 유틸리티 프로그램을 검색할 때 키워드 광고 목적을 가진 파일이 노출되도록 만든 변칙적 광고프로그램 웹 사이트가 아직도 기승을 부리고 있습니다. 이러한 프로그램은 마치 공식적인 프로그램인양 당당히 위장을 하고 있으나, 대체로 끼워팔기 식으로 또 다른 광고모듈을 동시다발적으로 설치합니다. 이 때문에 많은 인터넷 이용자가 이와 유사한 프로그램들에 각종 불만과 피해를 호소한지 한참 오래된 상황입니다. 이런 유형의 프로그램들은 이용자들이 명확하게 유입과정을 인지하지 못한 사이에 몰래 설치되고, 지속적으로 업데이트서버와 통신해 이용자가 원치 않는 광고행위를 은밀히 수행하게 됩니다. 지금까지 애드웨어는 그 자체로도 큰 불편함과 부작용을 유발했는데, ..

악성코드 분석 리포트 2015. 11. 12. 14:17

점점 진화하고 있는 파밍수법에 대처하는 방법 지난 포스팅을 통해, 금융감독원을 사칭한 파밍수법에 대해 소개해드린 적이 있습니다. (지난 포스팅 참고 ▶ http://blog.alyac.co.kr/285) 파밍이란?주소창의 url은 정상이지만 공격자가 만들어 놓은 가짜 사이트로 연결되는 악성기법입니다. 이러한 파밍에는 다양한 수법이 있으며, 점차 교묘하게 진화하고 있습니다. 이에 대처하기 위해 최근 가장 빈번하게 발생하고 있는 파밍 수법을 알약 블로그를 통해 소개해 드립니다. 파밍수법 상세 분석 1. 파밍 사례 1) 금융감독원 팝업창을 띄워 사용자들의 금융정보 입력 유도 2) 보안이 취약한 무선 공유기를 사용하여 인터넷 접속 시, 크롬이나 플래시 플레이어 등의 앱 업데이트를 위장한 악성 앱 다운로드 정식 ..

전문가 기고 2015. 5. 18. 13:17

더욱 교묘해지고 있는 금융감독원 사칭 파밍 수법 2015년 03월 21일 배우 이모씨는 자신의 공식 트위터를 통해 자신이 전자금융사기 피해를 당했다고 밝혔습니다. 공개된 트윗 내용에는 보이스 피싱을 당했다고 표현되어 있습니다. 여기서 우리는 [인터넷을 하다가 “금융감독원 개인정보유출 2차 피해예방등록 안내”라는 창이 자꾸 떠서 클릭을 했다가 속임수에 넘어가고 말았습니다.]라고 언급된 부분을 살펴보아야 합니다. 트위터에 공개된 전자금융사기 피해 내용 배우 이모씨가 트위터의 남긴 내용을 자세히 살펴보면, 보이스 피싱이 아닌 파밍(Pharming)인 것을 알 수 있습니다. 또한, 공격자는 포털 사이트 플로팅(Floating) 배너기법의 파밍수법을 사용하고 있습니다. 플로팅 배너기법의 파밍이란? 사용자를 파밍용..

악성코드 분석 리포트 2015. 3. 27. 15:33

DNS 변조 악성코드 주의... 알약 전용백신 배포 중 안녕하세요 알약입니다. 최근 DNS를 변경하여 사용자를 파밍 홈페이지로 유도하는 악성코드가 유포되고 있습니다. 해당 악성코드는 감염 시스템의 DNS를 로컬호스트(127.0.0.1)로 변경시킨 후, 자신이 DNS server역할을 합니다. 이 후 사용자가 인터넷 접속을 시도하면 파밍 홈페이지로 유도합니다. 알약은 해당 악성코드를 정상적으로 탐지하고 삭제할 수 있습니다. 그러나 악성코드 자체가 DNS 역할을 하기 때문에 알약이 악성코드를 탐지하고 삭제한 후에는 참고할 DNS 서버 정보가 설정되어 있지 않아 인터넷 연결이 불가능합니다. 이에 알약에서는 해당 악성코드를 탐지 및 삭제한 후, DNS 설정을 정상적으로 되돌릴 수 있는 전용백신을 제작하였습니다...

이스트시큐리티 소식 2015. 2. 4. 15:06

Spyware.PWS.KRBanker.M 최근 사이버 공격 동향을 살펴보면 다양한 종류의 공격이 행해지고 있습니다. 국가간의 사이버 전쟁, 산업시설 공격, 온라인게임 계정 탈취, 금융 정보 탈취, 랜섬웨어 등이 그것인데요. 그 중에서도 금전적인 목적을 위하여 사이버 공격을 시도하는 것은 이미 수년 전부터 행해져 왔었으며, 현재도 매우 활발히 진행 중에 있습니다. 대표적으로 운영체제의 호스트 파일을 변조하여, 공격자가 미리 제작해 둔 가짜 사이트로 유도 후 개인정보를 탈취하는 방식, 파밍(Pharming)이라는 수법을 들 수 있겠습니다. 최근에는 이러한 파밍 기법도 진화하고 있습니다. 기본적인 방법은 운영체제의 DNS캐쉬를 초기화 시키고 호스트 파일을 변조하여 공격자가 미리 제작해 둔 사이트로 사용자를 유..

악성코드 분석 리포트 2014. 10. 27. 13:34