|
파밍 공격과 피싱 메일의 지독한 만남 AhnLab / 2016-10-19
파밍(Pharming)은 사용자의 PC에 악성코드를 감염시켜 피싱 사이트에 접속하도록 유도하고 금융 정보, 개인 정보 등을 탈취하는 사이버 공격이다. 사용자가 파밍 악성코드에 감염된 PC를 이용해 은행 사이트에 접속할 경우, 금융감독위원회나 은행 사이트로 위장한 가짜 사이트로 연결되도록 조작해 주민등록번호, 계좌번호, 신용카드 등의 정보를 입력하도록 유도하여 탈취하고, 이를 이용해 불법 이체 등 금전적 피해를 야기한다. 최근 금융감독원의 발표에 따르면 올해 파밍 공격에 의한 피해 금액은 6월~7월 사이에 약 13억원, 8월~9월에는 30억원으로, 두 배 이상 증가한 것으로 나타났다.
대부분의 파밍 악성코드는 보안이 취약한 사이트를 이용한 ‘드라이브-바이 다운로드(Drive-by-download)’ 방식이나 관리가 부실한 유틸리티 프로그램이나 불필요한 프로그램(Potentially Unwanted Program, PUP)을 통해 사용자 PC를 감염시킨다. 그런데 최근에는 기존 방식과 달리 피싱(Phishing) 이메일을 이용한 파밍 공격이 나타나 더 큰 우려가 되고 있다.
이번에 확인된 파밍 공격은 [그림 1]과 같이 온라인 쇼핑 배송 관련 메일로 위장한 피싱 메일을 이용했다.
[그림 1] 주문 배송 정보로 위장한 피싱 이메일
불특정 다수의 사용자를 대상으로 발송된 것으로 추정되는 해당 이메일은 국내 유명 오픈마켓 웹사이트를 사칭하고 있다. 이메일 제목과 내용 또한 주문한 상품의 배송 조회와 관련된 것으로 위장하고 있다. 메일 수신자가 상세 정보 확인을 위해 메일 본문에 하이퍼링크로 처리된 문장([그림 1]의 파란색 글씨)을 클릭할 경우, 악성코드 유포 사이트로 연결된다.
악성코드 유포 사이트는 드라이브-바이 다운로드(Drive-by-download) 방식을 이용해 사용자 모르게 PC에 악성 파일을 다운로드한다. 다운로드된 악성 파일이 실행되면 동적 링크 라이브러리(DLL) 파일을 생성한 뒤 자가 삭제된다. 생성된 DLL 파일은 다음 특정 명령어에 의해 윈도우(Windows) 운영체제의 정상 파일인 ‘Rundll32.exe’를 이용하여 실행된다.
실행된 악성코드는 C&C(Command & Control) 서버에 접속하며, 파밍 공격에 필요한 악성 행위를 수행한다. 또한 감염 PC의 인터넷 익스플로러의 시작페이지를 유명 포털 사이트로 변경하고 자동 구성 스크립트를 수정하여 사용자를 피싱 페이지로 유도한다.
[그림 2] 인터넷 옵션 정보 변경
이후 사용자에게 금융감독원을 사칭한 허위 팝업 창을 보여주고 주요 인터넷 쇼핑몰에서 정보 유출 사건이 발생했다는 허위 메시지와 함께 은행 로고를 클릭하여 주민등록번호, 비밀번호 등 민감한 정보를 입력하도록 유도한다.
[그림 3] 금융감독원을 사칭한 피싱 페이지
V3 제품은 해당 파밍 악성코드를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군의 진단명> Trojan/Win32.Banki (2016.09.15.06)
파밍 공격은 지난 수년간 지속적으로 발생하고 있을 뿐만 아니라 점점 더 교묘하게 진화하고 있다. 진화한 파밍 공격의 피해를 예방하기 위해서는 기본적으로 출처가 불분명한 메일 열람에 주의해야 하며, 드라이브-바이 다운로드(Drive-by-download) 방식을 이용하는 교묘한 파밍 사이트를 통해 악성코드에 감염되지 않도록 평소 주요 프로그램의 보안 업데이트를 설치하고 V3 등 백신 제품의 엔진을 항상 최신으로 유지하는 등의 올바른 습관이 필요하다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| V3 모바일 시큐리티, 200만 사용자가 선택한 이유는? (0) | 2016.10.24 |
|---|---|
| 돈이 되는 신용카드 사용 팁 (0) | 2016.10.23 |
| IT를 활용한 ‘스마트’한 체중 관리 (0) | 2016.10.21 |
| IoT와 결합된 이커머스, 한국서도 확산될까 (0) | 2016.10.14 |
| 사물인터넷 시대를 위한 ‘IoT 보안 가이드’ (0) | 2016.10.13 |