DNS 변조하는 파밍 악성코드 유포돼

DNS 변조하는 파밍 악성코드 유포돼 AhnLab ㅣ 2017-03-29         또다시 불필요한 프로그램(PUP)를 통해 온라인 게임핵 악성코드와 파밍 악성코드가 유포되었다. 이번에 발견된 악성코드는 파밍 공격을 위해 사용자 PC의 DNS 서버 주소를 변조하는 것으로 확인됐다.   불필요한 프로그램, 이른바 PUP(Potentially Unwanted Program)는 대부분 유틸리티 프로그램을 다운로드할 때 제휴 프로그램(스폰서 프로그램)으로 사용자 PC에 함께 설치된다. 악성코드 제작자는 사용자 PC에 설치된 PUP가 주기적으로 업데이트한다는 점에 착안하여 PUP의 업데이트 서버를 변조하여 악성코드를 유포한다. PUP를 통해 사용자 PC에 다운로드된 악성코드는 %Temp% 경로에 특정한 파일들을 생성한다. 또 %System32%(%sysWOW64%) 경로에 존재하는 정상적인 윈도우(Windows) 파일wshtcpip.dll 또는 midimap.dll을 변조된 악성 파일로 교체한다.   마찬가지로 이번에 발견된 악성코드도 정상 윈도우 파일을 온라인 게임핵(Online GameHack) 악성코드로 교체한 후, 파밍 공격을 위해 [그림 1]과 같이 DNS 주소를 변조한다. 온라인 게임핵 악성코드는 온라인 게임 계정을 탈취하여 금전을 취득하기 위한 악성코드이다.   [그림 1] 변조된 DNS 주소   이렇게 변조된 DNS 때문에 이후 사용자가 포털 사이트나 은행 사이트에 접속하려고 하면 해당 사이트처럼 위장한 피싱 사이트로 연결된다. 피싱 사이트에 접속하면 [그림 2]와 같이 금융감독원을 사칭해 금융사기 차단시스템 관련 메시지로 위장한 팝업 화면이 나타난다. 이를 이용해 사용자를 개인정보 또는 금융정보를 입력하는 피싱 페이지로 유도한다.   [그림 2] 금융감독원을 사칭한 팝업 화면   피싱 페이지는 [그림 3]과 같이 전자금융사기 차단시스템 업그레이드를 구실로 개인정보 및 계좌번호, 비밀번호, 보안카드 일련번호, OTP 번호 등을 입력하도록 유도한다. 사용자가 입력한 개인정보 및 금융정보는 C&C 서버로 전송되며, 악성코드 제작자는 이를 2차, 3차 범죄에 악용한다.     [그림 3] 피싱 사이트(개인정보 입력 유도(위)/금융정보 입력 유도(아래))   V3에서는 해당 파밍 악성코드를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Dropper/Win32.Banki   PUP 업데이트 서버 변조를 통한 악성코드 유포가 지속되고 있다. 따서 유틸리티 프로그램 설치 시 설치 프로그램 목록을 꼼꼼히 살펴 알 수 없는 프로그램이 없는지 확인하는 습관이 필요하다. 또한 정기적으로 백신 프로그램을 이용해 정밀 검사를 하여 PUP와 악성 프로그램이 설치되어 있지 않은지 확인하는 노력이 필요하다.   한편 실제 은행 등 금융 사이트에서는 보안카드 번호 전체를 입력하라고 요구하지 않는다. 보안카드 번호 전체를 요구하는 것은 피싱일 가능성이 매우 높다는 의미이므로, 사용자의 각별한 주의가 필요하다.