1. 개 요
2. 감염 경로 및 증상
이번에 발견된 피싱 시도 사례는 현재 몇 가지 정황으로 미루어 보아 해외에서 제작된 것으로 추정되며, 이메일의 첨부 파일이나 메신저 및 SNS 등의 링크 클릭 유도 등을 통해 유포될 수 있는 것으로 추정된다.
또한, 피싱 시도 사례가 발견된 PC에서 아래의 그림과 같은 악성파일이 정상 프로세스상에 로드되어 있는 것으로 확인되었다.
위 그림을 살펴보면 "rundll32.exe" 정상 프로세스상에 "noloadf5A.dll" 악성파일이 인젝션 되어 있는 것을 확인할 수 있으며, 해당 dll 파일은 하기와 같은 경로 상에 숨김 속성으로 존재한다. 또한, 감염된 PC는 아래와 같은 특정 레지스트리 값이 등록될 수 있으니 참고할 수 있도록 하자.
※ noloadf5A.dll 파일 위치 경로
C:\WINDOWS\system32\noloadf5A.dll ( 614,400 바이트, 숨김 속성으로 존재 )
※ 레지스트리 등록 값
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\WINDOWS\system32\noloadf5A.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\Documents and Settings\(사용자계정)\noloadf5A.dll"
C:\WINDOWS\system32\noloadf5A.dll ( 614,400 바이트, 숨김 속성으로 존재 )
※ 레지스트리 등록 값
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\WINDOWS\system32\noloadf5A.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemonTool"="C:\Documents and Settings\(사용자계정)\noloadf5A.dll"
현재까지 위와 같은 감염 경로를 가지는 것으로 추정되는 피싱 시도 사례가 국내에서 두 가지 형태를 통해 진행되는 것으로 확인되었으며, 경우에 따라 더욱 다양한 사례가 있을 수 있다.
㉮ 인터넷 뱅킹을 위한 은행 사이트 로그인 시 발생하는 피싱 시도 사례
위와 같은 악성파일에 감염된 PC에서 국내 은행 사이트의 인터넷 뱅킹을 이용하기 위해 로그인(공인 인증서) 등을 시도할 경우 아래의 그림과 같이 피싱 시도 화면이 함께 출력될 수 있다.
카드정보에 대한 입력을 유도하고 있으며, 모두 영문으로 기재되어 있어 다양한 연령대가 이용 중인 국내 일반 사용자들을 대상으로 제작되었다고 보기에는 다소 거리가 있어 보인다. 또한, 현재 웹 브라우저를 "Internet Explorer"가 아닌 "Chrome"을 통해 은행 사이트에 접속할 경우 해당 피싱 시도 창이 출력되지 않는 것이 일부 확인되고 있다.
㉯ 신용카드를 통한 온라인 영화 예매 결제 시 발생하는 피싱 시도 사례
두 번째 사례는 국내 유명 멀티플랙스 극장의 인터넷 사이트에서 신용카드를 이용한 온라인 영화 예매 시 발생하는 사례이다. 우선, 감염된 PC에서 영화 예매를 위해 신용카드를 이용한 결제를 진행해 보았다.
결제를 위한 신용카드 정보를 위 그림과 같이 모두 입력 후 "적용" 버튼 클릭을 진행하면 아래의 그림과 같이 특정 신용카드사의 정보 입력 화면으로 사칭한 피싱 시도 화면이 출력된다. 해당 화면은 교묘하게 제작된 허위 카드사 정보 입력 화면이다.
그런데 위 그림을 살펴보면 은행 사이트 이용 시 발견되었던 사례와 유사하게 모두 영문으로 표기되어 있으며, 해외에서 사용이 가능한 신용카드를 이용해야 위와 같은 피싱 시도 창이 출력되는 것으로 일부 확인되었다.
3. 예방 조치 방법
위와 같은 두 가지 피싱 시도 사례로 미루어 보아 해당 피싱 관련 악성파일은 국내 일반 사용자들을 타겟 삼아 제작된 것은 아닌 것으로 추정되며, 피싱 시도에 의한 실제적 피해 사례는 접수되지 않고 있다. 다만, 현재 일부 국내로 유입되어 감염 사례가 발견된 만큼 사용자들은 해당 악성파일로 인해 피해를 입지 않도록 신경 써야 한다.
우선 ▶윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안 패치를 생활화해야 하며, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 후 실시간 감시 기능을 "ON" 상태로 유지해 사용하는 것이 중요하다. 또한, ▶발신처가 불분명한 메일의 열람이나 첨부된 파일에 대한 다운로드를 자제해야 하며, ▶메신저나 SNS 등을 이용 시 노출 되어 있는 링크 접속 등에 주의를 기울여야 한다.
※ 현재 잉카인터넷 대응팀에서는 이번에 발견된 피싱 시도 사례에 대해 정밀분석을 진행하고 있으며, 추가적인 보안 위협에 대한 지속적인 관제 작업을 병행하고 있다.
'최신 보안 동향' 카테고리의 다른 글
Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안 (0) | 2011.03.02 |
---|---|
MS Office DOCX 문서 파일로 전파 되어지는 악성파일 주의 (0) | 2011.02.25 |
MSN 메신저로 전파되는 악성 파일 주의! (0) | 2011.02.22 |
QR(Quick Response)코드의 편리성과 악용 가능성? (2) | 2011.02.17 |
PC방을 중심으로 유포되고 있는 ARP Spoofing 공격 악성파일 주의 필요 (0) | 2011.02.17 |