일반 사용자의 네이버 계정 정보 탈취 가능
[보안뉴스 김태형] 최근 휴가철을 맞아 쇼핑몰, 여행사 등의 홈페이지나 대학 홈페이지에서 네이버 계정 정보를 탈취하는 파밍 악성코드가 발견되고 있어 주의가 필요하다.
에프원시큐리티 조재근 연구원은 “최근 기승을 부리고 있는 네이버 계정 탈취용 파밍 악성코드가 국내 유명 대학·기업에서 운영중인 사이트에서 탐지되어 일반 사용자들의 주의가 필요하다. 유포지 URL은 ‘http://admin.centertour.co.kr/boss/log/3.js’이며 현재도 악성코드가 존재하며 조치되지 않고 있다”고 말했다.
특히, 다른 악성코드 삽입 페이지로 연결될 수 있어 악성코드가 추가 유입될 위험성이 있다는 설명이다.
.jpg)
▲ 감염경로
위 그림과 같이 서울의 A대학교 연구센터 페이지 내의 B개발연구센터가 악성코드에 감염된 상태다. 해당 페이지로 접속해 소스를 살펴보았으나 악의적 스크립트(Script)가 존재하지 않아 패킷(Packet)을 보내 확인했다. 감염경로는 에프원시큐리티의 악성코드 탐지 솔루션인 ‘wmds’가 탐지한 경로이다.
.jpg)
▲ A대학교 연구센터 패킷 확인
위의 그림과 같이 3.js 파일을 스크립트로 로드시킨 후 ‘iframe’을 통해 메인페이지로 연결해 악의적 행동을 은폐했다. 특정 값의 ‘wcs_bt_rand’ 쿠키가 존재하지 않을 시에만 위와 같은 악성 ‘iframe’으로 연결이 가능하며, ‘set cookie’가 있는 것을 보면 처음 접속 시에만 악의적 행위를 하는 것으로 추정된다.
또한, 국내의 한 리조트 홍보사이트에서도 이와 같은 악성코드가 탐지됐다. 이 홈페이지에도 접속부터 감염이 되어 소스를 살펴보았으나 악의접 스크립트가 존재하지 않아 패킷을 보내 확인했다는 게 에프원시큐리티 측의 설명이다.
▲ 리조트 홍보사이트 패킷 확인
위의 그림처럼 3.js 파일을 스크리트로 로드시킨 후, ‘iframe’을 통해 메인페이지로 연결해 악의적 행동을 은폐했다. 특정 값의 ‘wcs_bt_rand’ 쿠키가 존재하지 않을 시에만 위와 같은 악성 ‘iframe’으로 연결이 가능하며, ‘set cookie’가 있는 것을 보면 처음 접속 시에만 악의적 행위를 하는 것으로 추정된다.
앞서의 두 가지 사례 모두 해당 쿠키 값이 존재하지 않을 시 if문을 실행시키며 if문의 내용은 ‘cookie’값을 설정하고, 네이버 파밍 로그인창을 띄우는 행위를 하는 것으로 분석됐다.
조재근 연구원은 “네이버 계정 탈취용 파밍 페이지로써 일반 사용자의 네이버 계정 정보가 탈취될 수 있다. 현재는 작동중이 아니지만 해당 3.js 파일이 조치되었다가 다시 올라온 것이 확인되어 다시 공격이 이루어지고 있음을 알게 되었고, 내용이 수정될 가능성이 매우 높아 빠른 조치가 필요하다”면서 “문제점은 단순 외부 링크 접속으로 인한 악성코드 감염이 아닌 해당 페이지 내부 소스가 은폐되어 있는 것으로 보아 내부 파일이 변경되었을 가능성이 존재하며, 연결 iframe이나 연결된 js파일 안의 주소가 다른 주소로 변경되어 2차, 3차 피해가 생길 수 있다”고 말했다.
대응방안으로 그는 “서버, 웹페이지 취약점 점검을 진행하고 사용 서비스 소프트웨어를 모두 최신으로 업데이트해 재감염을 방지해야 한다. 또한, 수시로 모든 페이지를 점검하고 관리해야 한다. 이를 위해서는 리소스가 매우 많이 필요하기 때문에 악성코드 자동 탐지 시스템을 적용해 감염 즉시 빠르게 발견해서 대응할 수 있도록 해야 한다”고 덧붙였다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 최근 휴가철을 맞아 쇼핑몰, 여행사 등의 홈페이지나 대학 홈페이지에서 네이버 계정 정보를 탈취하는 파밍 악성코드가 발견되고 있어 주의가 필요하다.
에프원시큐리티 조재근 연구원은 “최근 기승을 부리고 있는 네이버 계정 탈취용 파밍 악성코드가 국내 유명 대학·기업에서 운영중인 사이트에서 탐지되어 일반 사용자들의 주의가 필요하다. 유포지 URL은 ‘http://admin.centertour.co.kr/boss/log/3.js’이며 현재도 악성코드가 존재하며 조치되지 않고 있다”고 말했다.
특히, 다른 악성코드 삽입 페이지로 연결될 수 있어 악성코드가 추가 유입될 위험성이 있다는 설명이다.
▲ 감염경로
위 그림과 같이 서울의 A대학교 연구센터 페이지 내의 B개발연구센터가 악성코드에 감염된 상태다. 해당 페이지로 접속해 소스를 살펴보았으나 악의적 스크립트(Script)가 존재하지 않아 패킷(Packet)을 보내 확인했다. 감염경로는 에프원시큐리티의 악성코드 탐지 솔루션인 ‘wmds’가 탐지한 경로이다.
▲ A대학교 연구센터 패킷 확인
위의 그림과 같이 3.js 파일을 스크립트로 로드시킨 후 ‘iframe’을 통해 메인페이지로 연결해 악의적 행동을 은폐했다. 특정 값의 ‘wcs_bt_rand’ 쿠키가 존재하지 않을 시에만 위와 같은 악성 ‘iframe’으로 연결이 가능하며, ‘set cookie’가 있는 것을 보면 처음 접속 시에만 악의적 행위를 하는 것으로 추정된다.
또한, 국내의 한 리조트 홍보사이트에서도 이와 같은 악성코드가 탐지됐다. 이 홈페이지에도 접속부터 감염이 되어 소스를 살펴보았으나 악의접 스크립트가 존재하지 않아 패킷을 보내 확인했다는 게 에프원시큐리티 측의 설명이다.
▲ 리조트 홍보사이트 패킷 확인
위의 그림처럼 3.js 파일을 스크리트로 로드시킨 후, ‘iframe’을 통해 메인페이지로 연결해 악의적 행동을 은폐했다. 특정 값의 ‘wcs_bt_rand’ 쿠키가 존재하지 않을 시에만 위와 같은 악성 ‘iframe’으로 연결이 가능하며, ‘set cookie’가 있는 것을 보면 처음 접속 시에만 악의적 행위를 하는 것으로 추정된다.
앞서의 두 가지 사례 모두 해당 쿠키 값이 존재하지 않을 시 if문을 실행시키며 if문의 내용은 ‘cookie’값을 설정하고, 네이버 파밍 로그인창을 띄우는 행위를 하는 것으로 분석됐다.
조재근 연구원은 “네이버 계정 탈취용 파밍 페이지로써 일반 사용자의 네이버 계정 정보가 탈취될 수 있다. 현재는 작동중이 아니지만 해당 3.js 파일이 조치되었다가 다시 올라온 것이 확인되어 다시 공격이 이루어지고 있음을 알게 되었고, 내용이 수정될 가능성이 매우 높아 빠른 조치가 필요하다”면서 “문제점은 단순 외부 링크 접속으로 인한 악성코드 감염이 아닌 해당 페이지 내부 소스가 은폐되어 있는 것으로 보아 내부 파일이 변경되었을 가능성이 존재하며, 연결 iframe이나 연결된 js파일 안의 주소가 다른 주소로 변경되어 2차, 3차 피해가 생길 수 있다”고 말했다.
대응방안으로 그는 “서버, 웹페이지 취약점 점검을 진행하고 사용 서비스 소프트웨어를 모두 최신으로 업데이트해 재감염을 방지해야 한다. 또한, 수시로 모든 페이지를 점검하고 관리해야 한다. 이를 위해서는 리소스가 매우 많이 필요하기 때문에 악성코드 자동 탐지 시스템을 적용해 감염 즉시 빠르게 발견해서 대응할 수 있도록 해야 한다”고 덧붙였다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
