로그인 위해 내려받는 보안 프로그램에 숨어든 악성코드...3,000건 이상 설치

국내 방산 업체 ‘디투이노베이션’의 유효한 인증서 도용

[보안뉴스 박은주 기자] 최근 로그인 시 필요한 보안 프로그램을 설치할 때 덩달아 악성코드가 다운로드 되는 정황이 발견됐다. 사용자는 공식 홈페이지에서 요구한 보안 프로그램을 설치하는 것만으로 개인정보 탈취 등 위험에 노출된다.

​

▲국내 건설사 관련 협회 홈페이지의 로그인 과정[이미지=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 해당 위협은 국내 건설 관련 협회 홈페이지에서 발견됐다. 보안 프로그램으로 위장한 악성코드로 인해 외부 공격자의 명령으로 악의적 행위를 수행할 수 있는 ‘백도어 악성코드’나 감염 시스템의 정보를 수집하는 ‘정보 탈취형 악성코드(TrollAgent)’가 설치된다. 지금까지 약 3,000건 이상의 악성코드가 설치된 것으로 집계됐다.

홈페이지에서 제공하는 서비스를 위해서는 로그인이 필요하고, 로그인을 위해선 보안 프로그램을 설치해야 하는 구조를 악용한 위협으로 분석된다. 사용자는 백신 프로그램 등으로 악성코드 감염을 차단하는 등 보안에 각별한 주의가 요구된다.

해당 업체의 홈페이지에 접속한 후 로그인을 시도할 경우, 보안 프로그램 설치를 요구한다. 설치가 필요한 보안 프로그램 중 ‘NX_PRNMAN’에서 악성코드가 포함된 악성 파일이 다운로드 된다. 이는 ASEC의 분석 시점인 2024년 1월 중순 기준으로, 지난 12월에는 ‘TrustPKI’ 보안 프로그램 내 악성코드가 포함돼 있었다.

​

▲악성코드가 포함된 설치 파일의 서명 정보[자료=ASEC]

또한, 내부 테스트상 변조된 설치 파일은 특정 시간대에만 해당 홈페이지에 업로드됐다. 해당 시간에 내려받은 공격자만 위협에 노출된 것. 설치 파일은 ‘VMProtect’로 패킹돼 있으며 국내 방산 업체인 ‘디투이노베이션’ 사의 유효한 인증서로 서명돼 있다. 유효한 인증서를 도용함으로써 웹 브라우저의 다운로드 검증 단계 혹은 파일 실행 단계에서 탐지를 회피한 것으로 보인다.

악성 파일이 내려받을 때, 정상적인 악성코드뿐만 아니라 보안 프로그램을 함께 설치한다. 악성코드는 백그라운드에서 실행되기 때문에 사용자는 악성코드가 설치됐는지를 인지하는 데 어려움이 있다. ‘NX_PRNMAN’ 설치 파일을 실행할 경우 정상적인 설치 파일 뿐만 아니라 악성코드가 “%APPDATA%” 경로에 생성되고 rundll32.exe 프로세스에 의해 실행된다.

사용자는 악성코드라 설치됐는지를 알아차리는데 어려움이 따른다. 보안 프로그램과 함께 설치돼 악성코드는 백그라운드에서 실행되기 때문이다. ‘NX_PRNMAN’ 설치 파일을 실행할 경우, 정상적인 설치 파일 뿐만 아니라 악성코드가 ‘%APPDATA%’ 경로에 생성되고 rundll32.exe 프로세스에 의해 실행된다.

‘TrollAgent’ 인포스틸러는 시스템 정보 외에도 크롬 및 파이어폭스 웹 브라우저에 저장된 자격증명 정보, 쿠키, 북마크, 히스토리, 확장 등 웹 브라우저 관련 다수의 정보를 탈취하는 기능을 제공한다. 또한 백도어 악성코드도 설치되는데, 과거 북한이 원자력 발전소나 국내 연구기관을 대상으로 유포한 악성코드와 유사한 것으로 드러났다.

[박은주 기자(boan5@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=126860&page=1&mkind=1&kind=)]