지난 주말 IE취약점인 CVE-2013-3897을 통해 인터넷 뱅킹 파밍용 악성코드 변종으로 의심되는 파일이 발견되었다. 공격자는 용산구 소재 중고차 매매 센터의 홈페이지에 특정 페이지를 삽입해 쉘코드를 실행시키며, 쉘코드는 국내 반도체 관련 잡지사 홈페이지에서 악성코드를 다운로드하는 것으로 밝혀졌다. 이 악성코드는 감염자 PC에서 공인인증서 정보를 탈취해 가고 있다.
 
이번 악성코드에 대한 상세 분석 보고서를 발표한 NSHC(대표 허영일) Red Alert팀은 “중국발 공격으로 의심되며 국내 사용자들을 대상으로 공격했으며 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 권고했다.
 
보고서에 따르면, 공격에 사용된 스크립트는 한국어와 일본어를 사용하는 윈도우 XP의 IE 8.0 사용자를 대상으로 공격코드가 동작한다. 악성코드에는 국내 안티바이러스 제품 일부에 대한 우회 루틴이 존재한다. 백신을 탐지해 우회를 위한 드라이버를 드랍 및 로딩하는 것이다.

 
특히 악성코드는 사용자 공인인증서 탈취를 위해 로컬 디스크에 있는 공인인증서 폴더인 NPKI 폴더를 검색해 공인인증서 파일을 복사한다. 이를 압축해 공격자는 자신의 서버로 전송해 간다. 또 악성코드는 CPU 이름, 언어, 윈도우 버전 등의 정보도 공격자 서버로 전송한다.
 
Red Alert팀 관계자는 “인터넷 파밍용 악성코드는 지난해부터 지속적으로 발견되고 있으며 현재 파밍용 악성코드 변종이 배포되는 정황을 확인했다. 이번 악성코드는 QQ블로그를 사용해 지속적으로 서버 정보를 요청하는 것과 파밍 대상 사이트 리스트를 지속적으로 요청하는 것으로 미루어 동시 다발적인 공격을 위해 현재 악성코드를 배포하는 것에 집중하는 것으로 추정된다. x86, x64 시스템과 윈도우 버전에 상관없이 동작해 시스템 감염 및 공인인증서를 탈취하고 있어 공인인증서 관리에 각별한 주의가 필요하다”고 강조했다.
 
이번 상세보고서는 NSHC Red Alert팀 페이스북 페이지를 통해 다운로드 할 수 있으며 데일리시큐 자료실에서도 다운로드 가능하다.
 
-보고서 다운로드: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com