2024-03-29 04:05 (금)
공인인증서 로그인 정보·계좌비밀번호 등 유출 악성코드...주의
상태바
공인인증서 로그인 정보·계좌비밀번호 등 유출 악성코드...주의
  • 길민권
  • 승인 2014.05.13 18:13
이 기사를 공유합니다

하우리 "이메일로 유포되는 금융정보 탈취 악성코드" 주의
이메일을 통해 유포되고 있는 금융정보 탈취용 악성코드에 대한 주의보가 발령됐다. 하우리에 따르면, 이번에 발견된 악성코드는 이메일을 통해 유포되었으며 사용자가 첨부파일을 다운로드 받고 실행시 우스꽝스러운 사진을 보여줌으로써 악성코드의 동작을 숨기고 있는 것으로 분석됐다.
 
이는 사용자가 보고 가볍게 넘어갈 수 있으며 악성코드 감염여부를 알기 어려워 쉽게 정보탈취가 이루어 질 수 있어 사용자의 주의가 필요하다.

해당 악성코드가 실행되면 악성코드 실행위치에 1.exe와 2.jpg가 생성된다.
[파일 생성]
(악성코드실행위치)1.exe
(악성코드실행위치)2.jpg
 
생성된 2.jpg는 아래와 같은 우스꽝스러운 사진이며 악성코드가 몰래 실행되는 것을 감추기 위해 팝업 형식으로 보여진다.

 
생성된 1.exe 파일은 다음과 같은 경로에 파일을 생성하며 레지스트리에 등록되어 자동으로 실행되도록 한다.
 
[파일 생성]
C:WINDOWSsystem32foy.exe
 
[레지스트리 등록]
키: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
이름: [EXPL0RER]
값: C:WINDOWSsystem32foy.exe
 
또한 다음과 같은 파일을 다운로드 한다.
 
다운로드 된 파일은 다음과 같은 경로에 생성되어 실행된다.
C:WINDOWSjerry.exe
 
다운로드 된 jerry.exe 파일은 다음과 같은 경로에 파일을 생성한다.
 
[파일 생성]
C:Program Filescapicom.dll (CAPICOM Module 정상파일)
C:Program Filesdmn.exe
C:Program FilesSdmn.exe
 
Sdmn.exe 파일은 다음과 같이 서비스에 등록되어 동작한다.
 
생성된 dmn.exe 파일이 실행되면 다음과 같은 경로에 파일을 복사한다.
C:WINDOWSsystem32capicom.dll
 
다음과 같은 경로에 테스트 목적으로 파일을 생성한다.
C:WINDOWSTempTest.txt
 
SetWinEventHook 함수를 통해 특정 은행 사이트 접속을 감시하며 접속시 필요한 보안 관련 ActiveX 설치 과정이 생략되어 진행된다.
 
해당 사이트에서 공인인증서 로그인시 가짜 인증서 로그인창을 띄워 정보를 탈취한다. 악성코드 아이콘과 같은 그림이 표시되어있는 것을 확인할 수 있다.

 
아이디, 비밀번호를 통한 로그인 방식을 진행하면 보안 설정 메시지가 출력된다.
 
그 이후 전화번호 및 계좌 비밀번호를 입력하도록 해 해당 정보를 탈취한다.

 
이렇게 악성코드는 교묘한 수법을 이용해 정보를 탈취해 나간다. 이에 따라 사용자는 인터넷 뱅킹을 사용함에 있어 세심하게 살펴봐야 하며 불필요하게 요구되는 개인정보는 입력하지 않는 주의가 필요하다.
 
하우리 관계자는 “해당 악성코드에 감염되었을 때 대처도 중요하지만 무엇보다 최소한의 예방을 위해서는 백신 프로그램의 최신 버전 업데이트와 실시간 감시기를 활성화 해야 한다”며 “또한 불필요한 메일이나 의심 가는 웹 사이트 링크는 클릭을 삼가 하며 응용 프로그램의 보안패치를 최신으로 적용해야 한다”고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★