사용자에 따라 특정한 웹 사이트를 방문하는 방법은 여러 가지가 있다. 먼저 포털 사이트를 찾아가 원하는 사이트의 이름을 검색하거나 주소를 알고 있다면 주소창에 직접 주소를 입력하기도 한다. 요즘에는 웹 브라우저의 주소창에 원하는 사이트의 이름, 즉 키워드를 입력하기만 하면 해당 사이트로 쉽게 이동이 가능하다. ‘주소창 검색기’라는 유틸리티 프로그램 덕이다. 그런데 최근 이 주소창 검색기를 악용한 파밍 악성코드가 발견돼 사용자들의 주의가 요구된다. 

 

‘주소창 검색기’는 윈도우(Windows)의 시작프로그램이나 BHO(Browser Helper Object)에 등록되는 유틸리티 프로그램으로, 웹 브라우저의 주소창에 키워드를 직접 입력하면 특정 포털 사이트를 통해 해당 키워드를 검색해 주는 검색 지원 프로그램이다. 

 

 1706264340125393.PNG 

[그림 1] 주소창 검색기 예시

이번에 나타난 파밍 악성코드는 아래 [그림 2]와 같이 특정 메신저를 설치할 때 제휴 프로그램으로 설치되는 주소창 검색기 유틸리티를 이용했다. 특히 이 메신저 프로그램은 해당 주소창 검색기의 설치를 ‘기본’으로 선택하여 제공한다. 따라서 사용자가 제휴 프로그램 설치 옵션을 주의 깊게 살펴보지 않는 한 메신저와 함께 설치되기 쉽고, 바로 이 점으로 인해 다른 악성코드에 비해 더욱 피해가 확산되었다고 볼 수 있다. 

 

 1706264340516614.PNG 

[그림 2] 메신저 프로그램의 제휴 프로그램으로 설치되는 주소창 검색기

 

이 주소창 검색 프로그램은 윈도우 시작프로그램에 등록되어 부팅 시에 특정한 URL에 연결하여 업데이트를 수행한다. 공격자는 바로 이 업데이트 파일을 변조해 악성코드 유포에 악용하였다. 이렇게 변조된 파일은 사용자 PC의 시작프로그램에 등록된다. 이후 공인인증서 탈취, 프록시 변조 등을 통해 [그림 3]과 같이 사용자를 피싱 페이지로 유도하고 금융정보 탈취를 시도한다.

 

 1706264340778976.PNG 

[그림 3] 피싱 유도 페이지

 

V는 해당 파밍 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Banki

 

한편, 현재 해당 메신저의 최신 설치 파일에는 주소창 검색 프로그램이 제휴 프로그램에 포함되어 있지 않다. 그러나 구 버전 설치 파일로 이 메신저를 설치한 상태라면 주소창 검색 프로그램이 설치 기본 옵션으로 설치되었을 것이다. 즉, 사용자가 직접 이 주소창 검색 프로그램을 찾아 삭제하지 않았다면 지금도 여전히 PC에 설치되어 있을 가능성이 높다.

 

이번 사례와 같이 유명 유틸리티 프로그램의 제휴 프로그램이나 스폰서 프로그램의 보안상 허점을 악용한 악성코드 유포가 끊이지 않고 있다. 이와 같은 악성코드에 의한 피해를 예방하기 위해서는 프로그램을 설치할 때 제휴 프로그램 목록을 꼼꼼히 살펴보고, 프로그램의 본래 목적과 관련 없는 프로그램의 설치가 기본 옵션으로 선택되어 있지 않은지 주의 깊게 확인하는 습관이 필요하다. 

 

 

출처 : AhnLab