2024-03-28 21:45 (목)
구글 크롬 파일로 위장한 악성파일 등장…주의!
상태바
구글 크롬 파일로 위장한 악성파일 등장…주의!
  • 길민권
  • 승인 2013.09.11 03:46
이 기사를 공유합니다

아이콘과 파일정보 만으로 정상파일로 오인하지 않도록 주의해야
국내 이용자를 노린 악성파일이 구글 크롬 파일처럼 위장하고 있는 형태가 발견됐다. 이 악성파일은 2가지 형태의 크롬 위장 아이콘 리소스를 보유하고 있으며 파일의 속성 정보에도 구글의 크롬처럼 설명을 포함하고 있다. 이용자들은 아이콘과 파일정보 만으로 정상파일로 오인하지 않도록 주의해야 한다.
 
잉카인터넷 대응팀 관계자는 “악성파일은 "css.exe" 파일명으로 국내 특정 웹 사이트를 통해서 유포 중에 있으며 파일 속성의 정보에는 원본 파일 이름이 "chrome.exe"이라고 지정되어 있다”며 이용자들의 주의를 당부했다.
 
잉카인터넷 분석에 따르면, 악성파일은 "css.exe" 파일명으로 유포 중이며 보안취약점을 통해서 컴퓨터에 설치된다. 생성되는 경로는 예약작업 설정 폴더라서 일반적인 EXE 파일은 보여지지 않는다.
 
악성파일은 구글 크롬 파일처럼 실행되어 작동하며 특정 사이트로 접속해 배치파일(BAT) 형식의 호스트파일 변조 명령어를 실행하게 된다. 이 과정을 통해서 특정 금융사의 홈페이지 접속을 IP주소 67.198.154.243 사이트로 변경되도록 조작한다.

 
http://98.126.96.213:8888/ip.txt 사이트 접속해 해당 사이트에 존재하는 내용을 "Changer.bat" 파일명으로 생성하고 실행한다. 이 명령을 통해서 "hosts.ics" 파일이 작동된다.
 
변조된 "hosts.ics" 파일에 의해서 이용자가 특정 웹 사이트에 접속시 가짜로 조작된 사이트에 강제로 접속되고, 이용자가 원하지 않는 개인정보를 요구하는 화면을 접하게 된다. 만약 해당 사이트에 개인정보를 입력하게 될 경우 예기치 못한 피해를 입을 수 있어 요구하는 정보를 입력해서는 안된다.
 
내가 접속한 곳이 실제 정상적인 금융사이트인지 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다.
 
따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 주의해야 한다.
 
잉카인터넷 대응팀 관계자는 “올해는 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며 기술적으로도 진화를 거듭할 것으로 예상되는 만큼 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다”고 강조했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★