가상화폐 거래소 등 웹 사이트 접속 시 입력하는 계정 정보를 노린 해킹 공격이 발생해 주의가 요구된다.
16일 보안업체 하우리에 따르면 이 악성코드는 최신 플래시 취약점을 악용해 국내에 유포 중인 '헤르메스' 랜섬웨어와 함께 유포된다. 웹 서핑 도중 사용자 모르게 은밀히 감염되기 때문에 사용자가 인지하기 어렵다.
웹을 통해 최초 감염된 악성코드는 윈도우 탐색기(explore.exe)에 특정 코드를 삽입해 동작시킨다. 가상머신을 탐지해 악성코드 분석 시스템이나 분석가들일 경우에는 동작을 하지 않는다. 이후 사용자 PC 내의 각종 정보들을 수집하여 특정 서버로 전송한다.
침투한 악성코드는 지속적으로 PC에 상주하며 4가지 웹 브라우저(인터넷 익스플로러, 크롬, 파이어폭스, 오페라)에 사용자가 입력하는 데이터를 가로채 해커의 서버로 전송한다. 보안성을 높인 프로토콜인 HTTPS의 경우에도 데이터 자체를 근본적으로 가로채기 때문에 막기가 어렵다.
최상명 CERT 실장은 "랜섬웨어를 유포하는 조직이 함께 유포하는 악성코드로 금전적인 이득을 목표로 하는 것으로 추정된다"며 "가상화폐 거래소 등 다양한 웹사이트의 계정정보가 탈취돼 2차 피해를 유발할 수 있다"고 말했다.
한편, 피해 예방을 위해서는 보안 솔루션을 최신 버전으로 업데이트해야 한다.
<저작권자 ⓒ 코인리더스 무단전재 및 재배포 금지>
|
 
많이 본 기사
|
