에스지에이이피에스

공지사항

[보안공지] 파밍을 이용한 금융정보를 가로채는 악성코드 발견

작성일: 2013-05-24

조회수: 4686

안녕하세요! 바이러스체이서 입니다.

파밍을 이용하여 사용자 금융 정보를 가로채는 악성코드에 대한 분석 진단 현황을 안내해 드립니다.

ㅇ 감염 동작
이 악성코드가 실행되면 정상 금융 사이트에 접속해도 피싱 사이트로 유도하기 위해 hosts 파일에 국내 금융 사이트의 IP 정보를 피싱 사이트의 IP로 등록합니다.
----------------------------------------------------------------------------------------------------
< 파일 생성 및 등록 정보 >

ㅇ hosts 파일의 내용을 변조하기 위해 아래와 같이 파일을 생성합니다.

C:\\\\DOCUME~1\\\\ADMINI~1\\\\LOCALS~1\\\\Temp\\\\랜덤.bat

C:\\\\Program Files\\\\Common Files\\\\csupern.exe (자신복제 – 시작프로그램 등록)

ㅇ 아래의 파일에 가짜 금융 사이트 IP 정보를 등록합니다.

C:\\\\WINDOWS\\\\System32\\\\drivers\\\\etc\\\\hosts.ics

C:\\\\WINDOWS\\\\System32\\\\drivers\\\\etc\\\\hosts

< 레지스트리 등록 정보 >

ㅇ 시스템 시작 시에 실행되기 위해 아래의 레지스트리에 등록합니다.

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\rdchelp

- C:\\\\Program Files\\\\Common Files\\\\csupern.exe
----------------------------------------------------------------------------------------------------

악성코드에 감염이 되어 hosts 파일이 변조된 상태에서 정상 금융 사이트의 URL로 접속을 해도 피싱 사이트로 접속이 되게 됩니다.

정상 사이트와 구별하기 힘들 정도로 피싱사이트가 비슷하게 만들어져 일반 사용자들이 구별하기 힘들 것으로 판단됩니다.

악성코드에 의해서 변조된 IP 정보는 다음과 같습니다.

< 그림. 변조된 IP 정보 >
등록되어 있는 URL을 입력하여 접속하면 위의 IP로 접속하게 됩니다.
피싱 사이트가 정상 사이트와 다른 점은 사용자의 금융 정보를 빼내기 위해 사용자가 사이트를 이용시 가짜 PC 지정 서비스나 OTP를 생성해야 한다는 메시지 박스를 출력하고 사용자의 정보를 입력 받을 수 있는 페이지로 이동한다는 것입니다.