[상세보고서] 금융정보를 대상으로 한 파밍형 악성코드

malwares.com 악성코드 분석팀 분석 자료

1. 개요

금전적인 이득을 얻기 위해 개인의 금융정보를 유출하는 파밍형 악성코드는 이제 더 이상 놀라운 일이 아니다. 

이러한 파밍형 악성코드는 기능 구현이 비교적 간단하여 비슷한 변종들이 매우 많이 유포되고 있으며 복합적인 공격 기법을 사용한 변종까지 나타나고 있다. 그 중 정상 프로그램 내에 악성코드가 삽입된 형태는 사회공학적 기법을 통해 사용자 PC에 설치를 유도하고 정상 프로그램과 같은 설치/실행이 이루어지기 때문에 일반 사용자가 악성코드에 감염된 사실을 확인하기는 매우 어렵다. 

파밍형 악성코드에 감염이 되면 사용자가 은행이나 주요 포털 사이트에 접속할 때 팝업창이 뜨고 개인정보 입력을 유도하는게 일반적인 방법이다. 또한 피싱 사이트는 실제 사이트와 매우 유사하게 정교하게 만들어져 있기 때문에 일반 사용자들이 의심하지 않고 개인 금융정보를 입력할 확률이 높다. 

따라서 파밍형 악성코드가 어떻게 동작하는지 내부를 확인해 보자. 

※ 파밍(Pharming) : 공격자가 악성코드 감염된 PC를 사용자가 모르게 조작하여 사용자가 정확한 웹 페이지 주소를 입력

                              해도 가짜 웹페이지인 피싱 사이트로 접속하게 하여 개인정보를 훔치는 기법

※ 피싱(Phishing) : 인터넷을 통해 국내외 유명기관을 사칭하여 개인정보나 금융정보를 수집한 뒤 이를 악용하여 금전적

                              인 이익을 노리는 사이버 사기의 일종

2. 악성코드 파일 정보

파일명 : Exploit.exe

파일크기 : 631,480 Bytes

특징 : 숙주파일, NSIS 설치파일 형태

대상 금융권 : 국민은행, 우리은행, 신한은행, 기업은행, 농협, 경남은행, 부산은행, 하나은행, 전북은행, 새마을금고, 외환은행

SHA-256 : 3B9AD10A1887751CD5EDD15E442D3E30B05EF3D17F1C62F3717F84DB710381DD

malwares.com 정보 : https://goo.gl/qhRCo6

파일명 : wheniawasjkaj1kawjdkao1

파일크기 : 459 Bytes

특징 : 인코딩된 악성코드가 사용할 API 목록

SHA-256 : 11EAC4E64AE24B165DA66E623B90D3A2129D7AB76FBC29B0651823C1A3A9C9F4

파일명 : Bernice.dll

파일크기 : 68,344 Bytes

특징 : WWW.YIFY-TORRENTS.COM.jpg 디코딩 후 실행

SHA-256 : 5AAE1E7C174883E0EBD0220D8D5E897FC5FAC10C4F86A1AD009640E24A6AE7C1

malwares.com 정보 : https://goo.gl/1htXsj

파일명 : WWW.YIFY-TORRENTS.COM.jpg

파일크기 : 737,017 Bytes

특징 : 브라우저 바로가기를 통한 인터넷 뱅킹 파밍 악성코드

SHA-256 : 0148818A5C8869D485A3B46DFE17D0DD02697D36C8C0A2AFD7AB238F274AD3A2

malwares.com 정보 : https://goo.gl/AffCsI

3. 분석 상세 (보고서 본문 참조)

▶ 보고서 원본 PDF 다운로드: https://goo.gl/MVWvWy

* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.