본문 바로가기


뉴스,지식창고/잡지식,추천정보

웹 브라우저의 주소창 검색기 악용한 파밍, 주의!

웹 브라우저의 주소창 검색기 악용한 파밍, 주의!

  • AhnLab
  • 2017-07-05

사용자에 따라 특정한 웹 사이트를 방문하는 방법은 여러 가지가 있다. 먼저 포털 사이트를 찾아가 원하는 사이트의 이름을 검색하거나 주소를 알고 있다면 주소창에 직접 주소를 입력하기도 한다. 요즘에는 웹 브라우저의 주소창에 원하는 사이트의 이름, 즉 키워드를 입력하기만 하면 해당 사이트로 쉽게 이동이 가능하다. ‘주소창 검색기’라는 유틸리티 프로그램 덕이다. 그런데 최근 이 주소창 검색기를 악용한 파밍 악성코드가 발견돼 사용자들의 주의가 요구된다. 

 

‘주소창 검색기’는 윈도우(Windows)의 시작프로그램이나 BHO(Browser Helper Object)에 등록되는 유틸리티 프로그램으로, 웹 브라우저의 주소창에 키워드를 직접 입력하면 특정 포털 사이트를 통해 해당 키워드를 검색해 주는 검색 지원 프로그램이다. 

 

  

[그림 1] 주소창 검색기 예시

이번에 나타난 파밍 악성코드는 아래 [그림 2]와 같이 특정 메신저를 설치할 때 제휴 프로그램으로 설치되는 주소창 검색기 유틸리티를 이용했다. 특히 이 메신저 프로그램은 해당 주소창 검색기의 설치를 ‘기본’으로 선택하여 제공한다. 따라서 사용자가 제휴 프로그램 설치 옵션을 주의 깊게 살펴보지 않는 한 메신저와 함께 설치되기 쉽고, 바로 이 점으로 인해 다른 악성코드에 비해 더욱 피해가 확산되었다고 볼 수 있다. 

 

  

[그림 2] 메신저 프로그램의 제휴 프로그램으로 설치되는 주소창 검색기

 

이 주소창 검색 프로그램은 윈도우 시작프로그램에 등록되어 부팅 시에 특정한 URL에 연결하여 업데이트를 수행한다. 공격자는 바로 이 업데이트 파일을 변조해 악성코드 유포에 악용하였다. 이렇게 변조된 파일은 사용자 PC의 시작프로그램에 등록된다. 이후 공인인증서 탈취, 프록시 변조 등을 통해 [그림 3]과 같이 사용자를 피싱 페이지로 유도하고 금융정보 탈취를 시도한다.

 

  

[그림 3] 피싱 유도 페이지

 

V는 해당 파밍 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Banki

 

한편, 현재 해당 메신저의 최신 설치 파일에는 주소창 검색 프로그램이 제휴 프로그램에 포함되어 있지 않다. 그러나 구 버전 설치 파일로 이 메신저를 설치한 상태라면 주소창 검색 프로그램이 설치 기본 옵션으로 설치되었을 것이다. 즉, 사용자가 직접 이 주소창 검색 프로그램을 찾아 삭제하지 않았다면 지금도 여전히 PC에 설치되어 있을 가능성이 높다.

 

이번 사례와 같이 유명 유틸리티 프로그램의 제휴 프로그램이나 스폰서 프로그램의 보안상 허점을 악용한 악성코드 유포가 끊이지 않고 있다. 이와 같은 악성코드에 의한 피해를 예방하기 위해서는 프로그램을 설치할 때 제휴 프로그램 목록을 꼼꼼히 살펴보고, 프로그램의 본래 목적과 관련 없는 프로그램의 설치가 기본 옵션으로 선택되어 있지 않은지 주의 깊게 확인하는 습관이 필요하다. 

 

 

  • AhnLab 로고
  • ASEC대응팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

 

 

태그