최초 유포지 포모스와 경유지 거쳐 대한항공 캠페인 사이트 연결
대한항공 캠페인 사이트, 파밍 악성코드 감염...금융정보 탈취
[보안뉴스 김경애] 대한항공이 주최하는 ‘내가그린예쁜비행기’ 캠페인 사이트에서 악성파일이 업로드되어 감염에 이용된 정황이 포착돼 이용자들의 각별한 주의가 요구된다.
|
|
|
▲9일 악성파일이 업로드되어 있는 대한항공 주최 캠페인인 내가그린예쁜비행기 웹사이트 |
9일 오후 2경 ‘내가그린예쁜비행기’ 캠페인 사이트에서 악성파일이 업로드되어 감염에 이용된 정황이 포착됐으며, 악성코드를 직접적으로 유포하는데 이용된 악성링크는 67.xxx.xxx.45:xxx/index.html으로 분석됐다.
최초 악성파일 유포지는 포모스(fomos) 사이트로 중간 경유지 2~3개를 거쳐 최종 바이너리는 대한항공의 ‘내가그린예쁜비행기’ 사이트로 연결된다. 이렇게 연결된 사이트에서는 myplane.koreaair.com/se.exe라는 악성코드가 실행되면서 공인인증서가 탈취되고, 가짜 사이트인 ‘e-금융보안센터’로 연결된다.
|
|
|
▲‘e-금융보안센터’ 파밍 사이트 |
이와 관련 빛스캔 오승택 과장은 “해당 사이트에 올려진 악성파일의 경우 웹서버의 메인에 올려진 상태라 공격자가 모든 권한을 가지고 있는 것으로 판단된다”며 “로그인의 경우 대한항공의 SSO(싱글사인온)를 사용하고 있어 추가적인 침입이나 정보획득 가능성도 높은 상태”라고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
