보안업체 하우리(대표 김희천)는 국내에 캐나다 금융기관의 이메일 송금서비스를 겨냥한 악성코드가 유포되고 있어 PC 사용자들의 주의가 필요하다고 27일 밝혔다.
악성코드는 하우리 바이로봇에서 'Trojan.Win32.R.Agent'라는 이름으로 진단된다. 바이로봇 에이피티 실드를 통해 사전 차단된다. 웹브라우저와 플러그인 취약점을 이용하는 '선다운(Sundown)' 익스플로잇킷으로 국내에 유포됐다. 약 4천대 PC를 감염시켰다.
악성코드는 캐나다의 한 금융기관 이메일 송금 서비스를 노리고 만들어졌다. 이메일을 받은 수신인은 자신의 계좌를 선택해 송신인이 보낸 돈을 이체받을 수 있는 서비스다. 각 거래에 결제참조번호(PRN)가 매겨지는데, 악성코드는 이를 수집한다.
관련기사
- "랜섬웨어 '록키' 변종 DLL파일 감염 주의"2016.09.28
- 하우리, 리눅스기반 공공PC용 취약성 점검 SW 개발2016.09.28
- 하우리, 日 안드로이드TV 백신 시장 진출2016.09.28
- 하우리, 랜섬웨어 탐지 솔루션 무료 배포2016.09.28
악성코드는 감염된 PC 자원을 사용, 결제 페이지에 접속해 PRN을 무작위 대입하는 방식으로 유효한 PRN을 수집한다. PC에서 동작하지만 서버 측에는 애플 아이폰으로 접속한 것처럼 위장한다. 이렇게 수집한 PRN을 특정 웹서버로 보내 파일DB에 저장한다.
하우리 최상명 CERT실장은 "최근 핀테크 서비스가 활성화되면서, 이를 노리는 악성코드들이 속속 발견되고 있다"며 "백신을 항상 최신으로 업데이트하고, 자사 ‘에이피티 쉴드’ 같은 다양한 무료 솔루션들을 활용하여 예방하는 것이 필요하다”고 밝혔다.
