공인인증서 및 패스워드 탈취를 목적으로 유포되는 악성코드가 발견됐다. 이에 NSHC(대표 허영일) RedAlert팀은 12일 해당 악성코드 분석 보고서를 발표하고 지속적인 사용자 주의를 당부했다.
 
RedAlert팀 관계자는 “해당 악성코드는 지난 진보신당 사이트를 통해 유포됐던 악성코드의 변종으로써 감염시스템의 공인인증서 및 패스워드를 탈취해 공격자 FTP서버에 업로드하도록 한다”며 “악성코드에 감염이 되면 인터넷 익스플로서 시작시 LoginMgr.dll이 같이 로드되며 공인인증서 로그인시 정상 로그인 창과 비정상 로그인 창의 비밀번호 입력창이 미묘하게 다른 것을 볼 수 있다”고 설명했다.
 
몇 단계 과정을 통해 공격자는 사용자의 공인인증서를 공격자의 FTP서버에 업로드하며 공인인증서 창에서 로그인시 MAC주소, 은행 URL, 비밀번호 등을 가로채 간다.
 
RedAlert팀 관계자는 “현재까지도 공격자의 FTP 서버에는 감염된 시스템의 공인인증서가 업로드되고 있으며 지속적인 피해상황이 발생하고 있다”고 밝히고, 악성코드에 감염된 시스템의 공인인증서가 업로드되는 공격자의 FTP서버 접속화면을 보여주고 공격자로 추정되는 대상의 위치정보까지 보여주고 있다.  
 
보고서에 따르면 “진보신당의 홈페이지에서는 제거된 상태지만 공격자들로부터 CVE-2012-1889를 이용한 공격에 당하지 않게 윈도 운영체제 및 백신 프로그램을 항상 최신 버전으로 유지해야 한다”고 강조하고 있다.
 
더불어 RedAlert팀은 이 악성코드와 관련 동영상을 제작해 유튜브에 올려 놓았다.
-관련 영상: youtu.be/pxZy-1TKfFE
 
이번 악성코드에 대한 분석보고서는 데일리시큐 자료실을 통해 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com