S2W, 인증서 프로그램 위장 정보탈취 악성코드 발견
[데이터넷] 우리나라 보안 프로그램 설치파일로 위장해 배포되는 악성코드가 발견됐다. S2W(대표 서상덕)는 국내 한 웹사이트 접속 시 연결되는 보안 프로그램 다운로드 페이지에서 보안 프로그램 설치파일로 위장한 악성코드가 발견됐다며 사용자의 주의를 당부했다.
이 악성코드는 정상 인스톨러와 악성코드를 드랍하고 실행하는 것으로, 디지털 서명 정보를 확인하면 정상 인증서가 아니라 ‘D2innovation Co.,LTD’로 서명되어 있다. 인증서 파일을 실행시키면 DLL 파일이 내려오는데, VM프로텍트로 패킹된 고(Go) 언어로 패킹된 정보탈취형 악성코드다.
S2W 인텔리전스 센터 탈론(Talon)은 이 악성코드가 기존 애플시드(AppleSeed) 악성코드에서 시스템 정보를 수집하기 위한 명령어가 거의 동일한 것을 확인했다. 또 애플시드 악성코드가 사용하는 RC4 + RSA 조합을 동일하게 파일 암호화에 사용하고 있으며, 이는 북한 배후 킴수키 그룹과 유사한 점이 있다고 설명했다.
악성코드는 사용자 기기를 감염시킨 후 행정전자서명인증서(GPKI) 폴더와 브라우저 정보 탈취를 시도했다. S2W는 우리나라 공무원이 사용하는 PC를 장악해 정보를 탈취하고자 하는 시도라고 분석했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
