안랩(대표 권치중)은 최근 유명 포털 사이트의 ‘보안 프로그램 다운로드’ 고객 안내 페이지를 위장해 악성코드를 유포하는 사례를 발견, 사용자의 주의를 당부한다고 18일 발표했다.
공격자는 이같은 내용으로 가장한 피싱 페이지를 만들었다. 사용자가 해당 피싱 페이지에 접속할 때 접속 기기 환경에 맞는 웹 페이지가 나타나도록 교묘하게 제작한 것이 특징이다.
이와 함께 보안 프로그램 설치 파일을 위장한 악성코드도 접속 기기에 따라 PC에는 압축파일(.zip)을, 스마트폰에는 앱 설치파일(.apk)을 내려받도록 설계했다.
보안 프로그램 설치로 위장한 피싱 페이지 접속 시 ‘보안 프로그램 다운로드’라는 링크 버튼이 나타나며 이를 클릭하면 악성코드 실행 파일(.exe)이 압축된 압축 파일(.zip)이 다운로드된다.
사용자가 해당 파일을 내려받아 압축 해제하고 실행하면 악성코드에 감염된다. 이와 동시에 사용자 화면에는 ‘보안 프로그램이 성공적으로 설치되었습니다’라는 대화상자가 나타나기 때문에 사용자가 악성코드 감염을 인지하기 어렵다.
감염 이후 악성코드는 사용자 PC의 IP, 운영체제(OS) 버전 정보, 드라이브 정보 등을 공격자가 악성코드를 원격 조종하기 위해 사용되는 C&C 서버로 전송한다. 추가 악성코드도 사용자 PC로 다운로드해 악성 행위를 지속 수행한다.
스마트폰 환경에서는 보안 프로그램으로 위장한 악성앱 설치 파일(.apk)이 다운로드된다. 마찬가지로 설치파일을 실행하면 악성 앱이 설치되며, 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.
안랩 백신 솔루션 'V3'는 해당 악성코드를 모두 진단 중이며, 피싱 페이지 URL 주소 또한 차단하고 있다.
관련기사
- "지능형 스피커·CCTV 노린 사이버공격 위험 커진다"2019.12.18
- 안랩, 코엑스서 디스켓에 담긴 'V3' 전시2019.12.18
- 한컴, 구름OS 활성화 위한 산·학·연·관 협의체 발족2019.12.18
- 버라이즌 산하 보안 평가 기관, '안랩 MDS' 성능 인증2019.12.18
회사는 사용자들에게 이와 같은 피해를 예방하기 위해 ▲출처가 불분명한 메일 내 URL과 첨부파일 실행 금지 ▲보안이 확실하지 않은 웹사이트 방문 자제 ▲OS와 인터넷 브라우저 등 프로그램의 최신 버전 유지와 보안 패치 적용 ▲V3 등 백신 프로그램 최신 버전 유지와 실시간 검사 실행 등 필수 보안 수칙을 실행해야 한다고 조언했다.
박태환 안랩 ASEC대응팀장은 “포털 사이트와 같이 신뢰할 수 있는 사이트를 사칭하는 수법은 지속적으로 등장하고 있다”며 “최근 PC 뿐 아니라 모바일 환경까지 타깃으로 한 피싱 페이지도 제작되는 만큼 출처가 불분명한 URL과 파일은 실행하지 않는 등의 각별한 주의가 필요하다”고 말했다.