Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보구글의 검색기능(SEO)를 이용한 Zeus Panda 뱅킹트로이 악성코드
작성일 2017-11-17 조회 1915

 

개요

구글의 Search Engine Optimization (SEO) 기능을 이용하여 사용자로 하여금 악의적인 링크를 보여주는
악성코드가 발견되었다. 특정 검색어(금융관련)를 검색하면 링크가 노출되기 때문에 공격자의 입장에서 원하는 대상만 타겟팅 할 수 있게 된다. 정상적인 검색 결과로 보여지기 때문에 사용자들은 주의가 필요하다.

 

확인 내역

피해자들이 특정 검색어를 검색하면 공격자가 의도한 단어가 포함될 경우 구글의 검색 결과는 거의 1페이지내에 보여지게된다. 공격자는 해킹한 사이트를 검색 결과에 노출시켜 피해자들을 유도하여 악성 Word 문서를 다운받게 만든다. 워드 문서에 포함된 매크로를 악의적인 매크로가 실행되면 특정 url로 접속하여 악의적인 실행 파일을 다운로드 받게된다.

<그림 1 - 실행을 유도하는 악의적인 워드문서 >

 

<그림 2 - 악성 파일을 다운로드 받는 URL>

 

대응방안

1. 최신 백신으로 치료한다.
2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다.

3.당사 IPS장비에서는 아래와 같은 패턴으로 대응이 가능하다.

[3838] Win32/Trojan.ZeusPanda.71168

 

참조

http://blog.talosintelligence.com/2017/11/zeus-panda-campaign.html
http://mp.163.com/v2/article/detail/D2O1913R0511FSTO.html

첨부파일 첨부파일이 없습니다.
태그 Zeus  panda  Trojan  banking  SEO