본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
페이스북, 트위터, 지메일 등 계정 탈취 가능한 뱅킹 트로이목마(Terdot) 주의2017.11.27
개요
 
  • 보안업체 Bitdefender, 은행 계좌 탈취 등 새롭고 정교한 형태의 악성코드 발견
     

  

주요내용

 

  • Bitdefender 보안 연구원에 따르면 최근에 발견된 Terdot 불리는 트로이 목마는 사용자가 방문한 취약한 사이트에 HTML 코드 인젝션 및 중간자 공격(Man-in-the Middle attack)을 통해 사용자 금융 정보 탈취
    - (감염 대상) 페이스북, 트위터, 구글 플러스, 유투브 등 소셜 미디어 및 이메일 서비스 제공자를 대상으로, 오픈 소스 도구를 사용하여 SSL 인증서 변조 시도
  • 이 뱅킹 트로이목마는 백신 탐지를 우회하기 위해 악성파일 삽입 및 추가 다운로더 생성 등 복잡한 체인 사용
     
 <그림1. Terdot 악성코드 동작 방법>
Terdot 악성코드 동작방법
 
< 유포 방법 >
· SunDown 익스플로잇 키트에 감염 된 웹사이트들을 통해 배포
· PDF 파일로 위장한 파일 형태로 이메일에 첨부하여 감염 유도


 

< 주요 특징 >

· 중간자(MITM) 공격을 위한 자체 프록시 연결을 지정하여 피해시스템 트래픽 감청
· 피해시스템의 정보 탈취를 위해 스파이웨어 삽입 등 브라우저 프로세스에 인젝션
· 자체 인증기관(CA)를 생성 및 사용자가 방문하는 모든 도메인에 대한 인증서를 생성·변조
· 감염 시스템에서 은행 및 소셜 미디어를 이용시 사용자의 계정 탈취 및 실시간으로 정보를 가로채어 변조 가능

 





시사점

 

  1. 운영체제(OS)와 응용 프로그램(SW)은 최신 보안 업데이트 상태 유지
  2. 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트 및 출처가 불명확한 이메일과 URL 링크는 삭제


[출처]
1 https://thehackernews.com/2017/11/facebook-twitter-hack.html
2. https://sketchproducts.blogspot.kr/2017/11/banking-trojan-gains-ability-to-steal.html




작성 : 침해사고분석단 분석2팀
키워드 Terdot , 트로이목마