1,044 2017-02-28
개요
‘보안용 채팅’ 프로그램이라는 이름으로 위장 및 유포되어 PC에 저장된 공인인증서 정보와 인터넷 뱅킹 시 이용하는 개인 정보를 탈취하는 악성 파일이 유포되고 있습니다. 랜섬웨어 및 악성코드 공격자들이 새로운 형태의 랜섬웨어를 만들어 유포 중인 것으로 판단됩니다. 따라서, 사전 예방을 위해 해당 악성코드 증상을 안내드리고자 합니다. |
특징
· 웹 브라우저 히스토리 정보를 수집해 웹 서핑 활동 내역 감시 · 기존 랜섬웨어 방식인 파일 암호화는 수행하지 않지만 사용자 PC에 인증서 파일을 탈취 · 수집한 파일 정보를 압축해 암호화한 후 웹 기반 소스 코드 저장소 ‘깃허브’ 웹 서버로 탈취 · 보안 채팅 프로그램을 시작 프로그램에 등록하여 재부팅을 하여도 지속 실행 |
감염 증상
[공인인증서 탈취 경로]
▶ 출처: 하우리 (2017.02.09)
· 보안 채팅 프로그램 실행 시 공인인증서 정보 탈취 · 웹 서핑 활동 내역 감시 · 사용자의 정보를 가져갔으니, 이를 막기 위해 1비트 코인을 지불하라는 메시지 발생 * 1비트 코인 (약 120만 원) |
대응 방안
관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로 exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방 |