모 정당 홈페이지가 인터넷 뱅킹 관련 악성코드의 경유 및 유포지로 활용된 사실이 발견됐다.
윈스테크넷(대표 김대연)은 악성코드탐지시스템 스나이퍼MDS를 통해 확인한 결과 24일 오전 9시경 모 정당 홈페이지에 'IFRAME' 형태의 악성코드 유포지 주소가 최소 2시간에서 최대 5시간에 걸쳐 유포된 것으로 확인했다고 25일 밝혔다.
윈스테크넷 침해사고대응센터는 이 홈페이지에 삽입된 악성코드는 'RunIeHelpG.exe' 이름의 파일로 지난 21일 중국에서 제작된 것으로 추정된다. 또한 이 악성코드는 최근 유행처럼 번지고 있는 XML 메모리 변조 (CVE-2012-1889) 관련 보안 취약점을 이용한 것으로 분석됐다고 회사측은 밝혔다.
이는 총 4개의 실행파일과 JS파일을 다운로드한다. 그 중 1개 파일은 해커가 감염PC에 공격명령을 내리는 C&C서버에 FTP 접속을 시도해 감염PC로부터 수집한 공인인증서를 전송하는 역할을 한다. 다른 실행파일은 은행의 피싱 악성코드로 ID/비밀번호 및 보안카드 번호를 가로채는 수법을 사용하고 있다고 회사측은 설명했다.
관련기사
- K앱스, 안드로이드 악성앱 구원투수될까2013.01.25
- '구글코리아가 보낸 V3' 깔았더니 악성코드2013.01.25
- 모바일 뱅킹 위장 악성앱 우후죽순2013.01.25
- 윈스테크넷, 악성코드 탐지 서비스 오픈2013.01.25
윈스테크넷은 또한 악성코드의 소스에는 K은행 이외에 N은행도 포함되어 있어 잠재적으로 변종을 이용한 타 은행에 대해서도 피싱이 가능할 것으로 보인다고 덧붙였다.
손동식 윈스테크넷 침해사고대응센터 상무는 새로 발견된 악성코드는 자주 발견되는 은행 피싱 악성코드로 정치적인 목적보다는 금전적 이득을 목적으로 하는 것으로 보인다며 사용자는 인터넷 익스플로러 및 어도비 리더 등 중요 애플리케이션에 대한 보안패치를 최신으로 유지하고, 백신을 업데이트할 것을 권했다.