“공공기관 정보탈취 위한 보안 프로그램 위장 악성코드 발견”

bet38 아바타


S2W, 인증서 프로그램 위장 정보탈취 악성코드 발견

S2W는 국내 특정 웹사이트 접속 시 연결되는 보안 프로그램 다운로드 페이지를 통해 보안 프로그램으로 위장한 악성코드가 유포되고 있다고 밝혔다.

[데이터넷] 우리나라 보안 프로그램 설치파일로 위장해 배포되는 악성코드가 발견됐다. S2W(대표 서상덕)는 국내 한 웹사이트 접속 시 연결되는 보안 프로그램 다운로드 페이지에서 보안 프로그램 설치파일로 위장한 악성코드가 발견됐다며 사용자의 주의를 당부했다.

이 악성코드는 정상 인스톨러와 악성코드를 드랍하고 실행하는 것으로, 디지털 서명 정보를 확인하면 정상 인증서가 아니라 ‘D2innovation Co.,LTD’로 서명되어 있다. 인증서 파일을 실행시키면 DLL 파일이 내려오는데, VM프로텍트로 패킹된 고(Go) 언어로 패킹된 정보탈취형 악성코드다.

S2W 인텔리전스 센터 탈론(Talon)은 이 악성코드가 기존 애플시드(AppleSeed) 악성코드에서 시스템 정보를 수집하기 위한 명령어가 거의 동일한 것을 확인했다. 또 애플시드 악성코드가 사용하는 RC4 + RSA 조합을 동일하게 파일 암호화에 사용하고 있으며, 이는 북한 배후 킴수키 그룹과 유사한 점이 있다고 설명했다.

악성코드는 사용자 기기를 감염시킨 후 행정전자서명인증서(GPKI) 폴더와 브라우저 정보 탈취를 시도했다. S2W는 우리나라 공무원이 사용하는 PC를 장악해 정보를 탈취하고자 하는 시도라고 분석했다.

저작권자 © 데이터넷 무단전재 및 재배포 금지

Tagged in :

bet38 아바타

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다