침해사고/위협동향

가상화폐 거래소·웹사이트 계정정보 탈취하는 악성코드 국내 유포 ‘주의’

최민지
[디지털데일리 최민지기자] 하우리(대표 김희천)는 최근 웹사이트 접속 때 입력하는 계정정보를 탈취하는 악성코드가 국내에 유포되고 있어 사용자 주의가 필요하다고 16일 밝혔다.

해당 악성코드는 ‘헤르메스’ 랜섬웨어와 함께 유포됐으며, 최신 플래시 취약점 등을 이용해 ‘선다운(Sundown)’ 익스플로잇 킷을 통해 뿌려졌다. 웹 서핑 도중 사용자 모르게 감염되기 때문에 사용자들이 인지하기 어렵다.

웹을 통해 최초 감염된 악성코드는 윈도 탐색기(explore.exe)에 특정 코드를 삽입하여 동작시킨다. 가상머신을 탐지해 악성코드 분석 시스템이나 분석가들일 경우에는 동작을 하지 않는다. 이후 사용자 PC 내의 각종 정보들을 수집하여 특정 서버로 전송한다.

악성코드는 지속적으로 PC에 상주하며 인터넷 익스플로러, 크롬, 파이어폭스, 오페라 웹 브라우저의 입력 데이터를 가로채 웹 사이트에 접속하는 계정정보들을 식별해 로그로 남기고 탈취한다.

HTTPS 보안 프로토콜을 통해 통신하는 웹사이트들에 대해서도 웹 브라우저에 입력하는 원시 데이터를 가로채기 때문에 계정정보를 탈취할 수 있다.

최상명 CERT 실장은 “랜섬웨어를 유포하는 조직이 함께 유포하는 악성코드로 금전적인 이득을 목표로 하는 것으로 추정된다”며 “가상화폐 거래소 등 다양한 웹사이트의 계정정보가 탈취돼 2차 피해를 유발할 수 있다”고 말했다.

한편, 해당 악성코드는 하우리 바이로봇에서 ‘Trojan.Win32.R.Agent’ 등의 진단명으로 탐지 및 치료할 수 있으며 ‘바이로봇 에이피티 쉴드’를 통해서도 사전 차단 가능하다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널