[스페셜리포트] 진화하는 악성코드, 파밍·큐싱 결합 PC·스마트폰 동시 공격
상태바
[스페셜리포트] 진화하는 악성코드, 파밍·큐싱 결합 PC·스마트폰 동시 공격
  • 이광재 기자
  • 승인 2014.06.04 14:15
  • 댓글 0
이 기사를 공유합니다

파밍으로 인터넷 뱅킹 정보 수집하고 큐싱으로 악성 앱 설치

<저자 : 송지훤·류소준 KISA 코드분석팀>

개요
최근 PC와 스마트폰에서 금융정보를 탈취하기 위한 해커들의 움직임이 다수 포착되고 있다. 실제 한국인터넷진흥원에 신고·접수된 악성 앱중 10% 이상과 PC 악성코드중 17% 이상이 보안카드 번호, 주민등록번호 등 금융 정보를 탈취하고 있다.

뿐만 아니라 가능한 많은 금융정보를 수집하기 위해 해커는 파밍(Pharming: 피싱(Phishig)과 농사(Farming)의 합성어로 PC에 가짜은행사이트로 유도하는 악성코드를 설치하고 금융정보를 빼낸 후 예금을 인출하는 사기 범죄)과 큐싱(Qshing: QR코드와 개인정보, 금융정보를 낚는다(Fishig)는 의미의 합성어로 QR코드를 통해 악성 링크로의 접속을 유도해 악성 앱을 설치하는 사기 범죄) 수법을 복합적으로 사용해 인터넷 뱅킹 정보와 모바일 뱅킹 정보를 동시에 수집하는 것으로 확인됐다. 또한 해커는 원격 제어 및 DDoS 공격이 가능한 Gh0st 3.75 계열 악성코드를 함께 유포하고 있었다.

해커는 일반 웹 사이트를 해킹하고 브라우저, 자바 등의 취약점을 통해 악성코드를 유포시켰다. 해당 악성코드는 감염된 PC에서 공인인증서 및 시스템 정보를 수집해 해커에게 전송하고 변조된 hosts 파일을 통해 파밍 공격을 수행한다.

이후 해커는 피싱 사이트를 통해 개인 정보를 입력하도록 유도하고 2차 인증이 필요한 것처럼 속여 QR코드로 사용자의 스마트폰에 악성 앱을 다운받도록 한다.

이렇게 PC와 스마트폰을 동시에 공격하는 방식은 악성코드가 2차 채널 인증 의무화(2013년 9월26일부터 시행된 미등록 기기에서 금융 거래시 본인 인증을 1채널(PC) 외에 2채널(스마트폰, 유선전화 등)로 확대하는 방안) 등과 같은 새로운 금융 보안 정책에 따라 진화하고 있다는 것을 보여준다고 할 수 있다.

악성코드 유포 기간 및 규모
지난 2013년 9월부터 최소 7개월 간 해당 악성코드를 제작한 해커는 여행사, 수련관, 웹하드 업체 등 60개가 넘는 국내 홈페이지를 통해 악성코드를 유포했다. 악성코드를 유포한 사이트와 시기는 다음과 같다.

PC 악성코드 분석 결과
악성코드 특징점 = 여러 유포지에서 다운로드되는 악성코드는 본래 3단계에 걸쳐 악성코드를 생성한다. 대부분 mydat.dll(혹은mydll.dll)이 CHIinwywamzi.exe를 CHIinwywamzi.exe가 svchsot.exe를 svchsot.exe가 kb0ce.exe를 순차적으로 다운받아 실행하는 것으로 나타났다. 악성코드마다 각기 다른 악성 행위를 하며 개인정보, 컴퓨터 정보 등을 유출시킨다.

또한 이 악성코드들은 모두 독자적으로 유포되기도 한다. 전체 구조와 악성코드별 행위들은 아래 표와 같다.

60개 이상 사이트에서 발견된 악성코드를 분석한 결과 대부분 아래와 같은 공통점이 발견됐으며 동일 조직이 금융 정보 수집을 위해 IP와 기능만 약간 수정해 끊임없이 악성코드를 유포하고 있는 것으로 추정된다.

공통점 - hosts 파일 변조 = 금융정보를 수집하는 악성코드 이름은 대부분 mydat.dll, mydll.dll이었으며 링크파일(.lnk)을 통해 실행됐다. 실행된 뒤에는 호스트 파일을 변조해 가짜 금융 사이트로 접속을 유도하는데 해당 악성코드는 공격에 사용되는 IP를 두 가지 방식을 통해서 얻어온다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.