국내에 랜섬웨어를 유포하는 것과 같은 해킹조직이 POS시스템으로부터 신용카드결제정보를 훔쳐내는 악성코드를 유포하고 있는 것으로 확인돼 주의가 필요하다.
하우리(대표 김희천)는 일명 '다이아몬드폭스'라 불리는 봇넷 기반 악성코드가 유포됐다고 22일 밝혔다.
이 악성코드는 대상 기기의 취약점을 악용해 공격을 시도하는 해킹툴의 일종인 '리그(RIG) 익스플로잇킷'을 동원했다.
이 악성코드에 감염된 POS시스템은 플러그인 형태로 카드결제단말기 악성코드 모듈과 키로깅 악성코드 모듈을 다운받아 실행한다. 악성코드 모듈은 프로세스 메모리를 검색해 카드번호 규칙에 맞는 신용카드번호를 탈취해 공격자가 운영하고 있는 C&C서버로 전송한다.
다이아몬드폭스 봇넷은 해외 다수 해커 포럼에 배포돼 최근 빠르게 확산되고 있다.
관련기사
- 해외 POS시스템 노린 해킹 기승...국내도 당할라2016.03.22
- "2015년 랜섬웨어-POS 겨냥 공격 거셌다"2016.03.22
- 오라클 POS솔루션 노린 악성코드 등장2016.03.22
- POS 노린 악성코드 '포세이돈' 주의보2016.03.22
카드정보를 훔치는 것 뿐만 아니라 감염PC를 분산서비스거부(DDoS) 공격에까지 악용할 수 있는 것으로 확인됐다.
하우리 보안연구팀 김동준 연구원은 "다이아몬드폭스 봇넷 악성코드는 유포가 쉽고, 다양한 악성 기능을 플러그인 모듈형태로 가지고 있다"며 "POS시스템에서는 결제와 관련된 업무 외에는 인터넷 사용을 자제하고 백신 프로그램을 설치해 운용해야 피해를 최소화할 수 있다"고 밝혔다.