하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

웹사이트 계정정보를 탈취하는 악성코드 국내 유포 주의
등록일 :
2018.03.22

□ 개요

최근 웹사이트 접속 시 입력하는 계정정보를 탈취하는 악성코드가 국내에 유포되고 있어 국내 사용자들의 주의가 필요하다.

 

□ 내용

해당 악성코드는 국내에 유포되고 있는 '헤르메스' 랜섬웨어와 함께 유포되었으며, 최신 플래시 취약점 등을 이용한 "선다운(Sundown)" 익스플로잇 킷을 통해 유포되었다. 웹을 통해 최초 감염된 악성코드는 "윈도우 탐색기(explore.exe)"에 코드 삽입을 통해 동작한다. 악성코드는 가상머신 탐지 기능을 통해 "VMWARE"와 같은 가상머신을 사용하는 악성코드 분석 시스템이나 분석 환경에서 동작하지 않도록 하고 있다. 이후 사용자 PC 내의 각종 정보를 수집하여 공격자의 서버로 전송하고 있다.

 

악성코드는 지속적으로 PC에서 상주하며 4가지 웹브라우저('인터넷 익스플로러', '크롬', '파이어폭스', '오페라')의 입력 데이터를 가로채 웹 사이트에 접속하는 계정정보를 로그로 남기고 탈취하고 있다. "HTTPS" 보안 프로토콜을 통해 통신하는 웹사이트들에 입력되는 데이터까지 가로채고 있다. 해당 기능을 통해 악성코드는 감염된 사용자가 로그인 시 데이터를 가로채 계정정보를 탈취하고 있다.

 

 


[그림 1] 국내 가상화폐 거래소의 접속 계정정보를 탈취하여 악성코드가 남긴 로그

 

해당 악성코드에 감염 시 사용자 PC의 정보 뿐만 아니라 가상화폐 거래소 등 다양한 웹사이트 계정정보 탈취되어 2차 피해를 유발 할 수 있기 때문에 주의가 필요하다.

 

 

□ 바이로봇 업데이트 내역

대표진단명 Trojan.Win32.R.Agent

 

 

 

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top