본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

신용카드 정보를 노리는 파밍 악성코드

by 파스칼바이런 2017. 2. 7.

신용카드 정보를 노리는 파밍 악성코드

AhnLab / 2017-01-18

 

 

 

 

지속적으로 나타나고 있는 파밍(Pharming) 공격은 대개 사용자 PC에 저장된 공인인증서 정보와 인터넷 뱅킹 시 이용하는 개인정보 탈취를 목적으로 하고 있다. 그런데 최근 신용카드 정보를 노리고 특정 카드사로 위장한 피싱 페이지를 동반한 파밍 악성코드가 발견됐다. 설 연휴를 앞두고 있는 만큼 신용카드 관리에 각별한 주의가 요구된다.

 

‘파밍’은 사용자의 PC에 악성코드를 감염시켜 피싱 사이트에 접속하도록 유도하고 금융 정보, 개인 정보 등을 탈취하는 사이버 공격이다. 파밍 악성코드는 주로 웹사이트에 접속만 해도 감염되는 ‘드라이브-바이 다운로드(Drive-by-download)’ 방식이나 불필요한 프로그램(PUP) 또는 정상 유틸리티 프로그램의 업데이트 모듈을 이용하여 유포된다. 최근 발견된 파밍 악성코드도 사용자가 알아채지 못하도록 PUP를 이용해 PC에 설치 및 실행된다.

 

이 파밍 악성코드는 사용자 PC에 다운로드된 후 윈도우 운영체제의 정상 파일인 mshta.exe를 실행하여 메모리 영역에 악성코드를 삽입하여 악의적인 행위를 수행하는 것이다. 인터넷 익스플로러의 시작 페이지를 유명 포털 사이트로 강제 변경하고 [인터넷 옵션] - [연결] - [자동 구성 스크립트] 항목을 수정한다. 이후 사용자가 인터넷 익스플로러를 실행하면 [그림 1]과 같이 금융감독원을 사칭하여 피싱 페이지로 유도하는 메시지 창이 나타난다.

 

[그림 1] 피싱 페이지 메시지 창

 

이번 파밍 악성코드 사례에서 눈 여겨 볼 점이 바로 이 팝업 메시지이다. [그림 2]에서 볼 수 있는 것처럼 이번에 발견된 파밍 악성코드의 팝업 메시지에는 이전의 것들과 달리 은행 사이트 외에 카드사 사이트가 추가되어 있다.

 

[그림 2] 금융감독원 사칭 팝업창 이전(왼쪽) vs. 최근(오른쪽)

 

사용자가 팝업창에서 카드사를 클릭하면 [그림 3]과 같이 카드사 사이트로 위장한 피싱 페이지로 연결된다. 유명 카드사의 사이트를 정교하게 모방했을 뿐만 아니라 ‘개인정보 유출’이라는 사용자 입장에서 민감할 수 밖에 없는 내용으로 사용자가 신용카드 정보 및 개인 정보를 입력하도록 유도하고 있다.

 

[그림 3] 카드사 사이트로 위장한 피싱 사이트

 

사용자가 교묘한 장치에 속아 자신의 정보를 입력하면 해당 정보는 공격자(C&C 서버)에게 전송된다. 해당 파밍 악성코드는 C&C 서버 통신 외에도 PC의 시작 프로그램 및 윈도우 방화벽 예외 정책 수정 등을 통해 악의적인 행위를 수행한다.

 

V3 제품은 해당 파밍 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki (2017.01.12.04)

 

파밍 공격은 지속적으로 발생하고 있으며 나날이 교묘하게 진화하고 있다. 파밍의 피해를 예방하기 위해서는 파밍 악성코드를 유포하는 드라이브-바이-다운로드 공격을 방지하기 위해 사용 중인 OS 및 주요 프로그램의 최신 보안 업데이트를 적용하는 한편, 백신 제품의 엔진 버전을 항상 최신으로 유지해야 한다. 또 출처가 불분명한 사이트에 접속하지 않도록 주의하는 습관이 필요하다. 안랩은 파밍 공격으로부터 사용자들의 피해를 최소화하기 위해 V3 365 클리닉(개인용), V3 Internet Security 9.0/V3 Endpoint Security 9.0(기업용)을 통해 파밍 사이트 접속 차단 기능을 제공하고 있다.