보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

인포스틸러·백도어 악성코드, 로그인 시 필요한 보안 프로그램으로 위장해 유포

입력 : 2024-02-20 18:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
로그인 위해 내려받는 보안 프로그램에 숨어든 악성코드...3,000건 이상 설치
국내 방산 업체 ‘D’사의 유효한 인증서 도용


[보안뉴스 박은주 기자] 최근 로그인 시 필요한 보안 프로그램을 설치할 때 덩달아 악성코드가 다운로드 되는 정황이 발견됐다. 사용자는 공식 홈페이지에서 요구한 보안 프로그램을 설치하는 것만으로 개인정보 탈취 등 위험에 노출된다.

▲국내 건설사 관련 협회 홈페이지의 로그인 과정[이미지=ASEC]


안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 해당 위협은 국내 건설 관련 협회 홈페이지에서 발견됐다. 보안 프로그램으로 위장한 악성코드로 인해 외부 공격자의 명령으로 악의적 행위를 수행할 수 있는 ‘백도어 악성코드’나 감염 시스템의 정보를 수집하는 ‘정보 탈취형 악성코드(TrollAgent)’가 설치된다. 지금까지 약 3,000건 이상의 악성코드가 설치된 것으로 집계됐다.

홈페이지에서 제공하는 서비스를 위해서는 로그인이 필요하고, 로그인을 위해선 보안 프로그램을 설치해야 하는 구조를 악용한 위협으로 분석된다. 사용자는 백신 프로그램 등으로 악성코드 감염을 차단하는 등 보안에 각별한 주의가 요구된다.

해당 업체의 홈페이지에 접속한 후 로그인을 시도할 경우, 보안 프로그램 설치를 요구한다. 설치가 필요한 보안 프로그램 중 ‘NX_PRNMAN’에서 악성코드가 포함된 악성 파일이 다운로드 된다. 이는 ASEC의 분석 시점인 2024년 1월 중순 기준으로, 지난 12월에는 ‘TrustPKI’ 보안 프로그램 내 악성코드가 포함돼 있었다.

▲악성코드가 포함된 설치 파일의 서명 정보[자료=ASEC]


또한, 내부 테스트상 변조된 설치 파일은 특정 시간대에만 해당 홈페이지에 업로드됐다. 해당 시간에 내려받은 공격자만 위협에 노출된 것. 설치 파일은 ‘VMProtect’로 패킹돼 있으며 국내 방산 업체 ‘D’사의 유효한 인증서로 서명돼 있다. 유효한 인증서를 도용함으로써 웹 브라우저의 다운로드 검증 단계 혹은 파일 실행 단계에서 탐지를 회피한 것으로 보인다.

사용자는 악성코드 설치 여부를 인식하는 데 어려움이 따른다. 보안 프로그램과 함께 설치돼 악성코드는 백그라운드에서 실행되기 때문이다. ‘NX_PRNMAN’ 설치 파일을 실행할 경우, 정상적인 설치 파일뿐만 아니라 악성코드가 ‘%APPDATA%’ 경로에 생성되고 rundll32.exe 프로세스에 의해 실행된다.

‘TrollAgent’ 인포스틸러는 시스템 정보 외에도 크롬 및 파이어폭스 웹 브라우저에 저장된 자격증명 정보, 쿠키, 북마크, 히스토리, 확장 등 웹 브라우저 관련 다수의 정보를 탈취하는 기능을 제공한다. 또한 백도어 악성코드도 설치되는데, 과거 북한이 원자력 발전소나 국내 연구기관을 대상으로 유포한 악성코드와 유사한 것으로 드러났다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)