악성 dll 파일을 삽입시키는 DLL Planting 기법 연이어 발견

파밍 등 전자금융사기 목적...팟플레이어 최신 버전 업데이트
   

[보안뉴스 권 준] 최근 다음카카오의 동영상 재생 프로그램인 다음 팟플레이어와 윈도우 OS의 작업관리자 파일을 악용해 악성코드를 유포하는 행위가 포착돼 사용자들의 주의가 요구되고 있다. 

이는 지난해 11월에도 등장했던 수법으로, DLL(Dynamic Linking Library) Planting 기법을 이용해서 다음 팟플레이어 사용자 등의 PC에 악성코드를 삽입하는 방식이다. 이 방식은 다음 팟플레이어와 작업관리자 실행파일이 dll 파일을 로딩할 때 악성 dll 파일을 정상적인 dll 파일로 인식시켜 로딩시키는 방법을 의미한다. 


복수의 보안전문가들에 따르면 지난 주말부터 해커들이 정상적인 다음 팟플레이어 프로그램 또는 작업관리자 실행파일을 이용해서 랭귀지 팩인 ‘lpk.dll’를 PC에 생성시켜 파밍용 악성코드 기능을 수행하는 것으로 알려졌다.

 

lpk.dll 파일명은 원래 정상적인 시스템 파일명인데, 공격자는 이를 악용해 악성파일 이름만 동일한 lpk.dll 파일을 특정경로에 생성시킨다. 이와 함께 만들어둔 중국어 버전의 Task Manager 파일을 이용해서 자동으로 악성 lpk.dll 파일을 로딩하는 기법을 사용했다.


한 보안전문가는 “최근 해커들이 악성코드를 자동으로 실행하기 위한 기법으로 DLL Planting 기법을 적극 활용하고 있는 게  포착되고 있다”며 주의를 당부했다. 

그러나 더욱 큰 문제는 사용자 PC에 이미 설치된 다음 팟플레이어 프로그램의 경우 최신 버전으로 업데이트해도 피해를 예방할 수 없다는 점이다. 지난 2월 2일 최신 업데이트된 다음 팟플레이어 프로그램에는 팟플레이어 실행시 PotPlayer.dll 파일이 변조됐는지 확인하는 기능이 추가됐지만, 악성 PotPlayer.dll 로딩 기법은 최신 팟플레이어를 설치하는 것과는 상관없이 작동하는 것으로 분석됐다.   


이와 관련해서 또 다른 보안전문가는 “이번에 발견된 기법은 악성파일이 구 버전의 다음 팟플레이어 실행모듈을 함께 설치하고 악용하기 때문에 최신 프로그램 업데이트 여부는 상관이 없다”며, “감염된 상태에서 브라우저를 열면 파밍 팝업을 보여주면서 전자금융사기에 악용되고 있다”고 우려했다.   

[권 준 기자(editor@boannews.com)]


www.boannews.com/media/view.asp?idx=45381



세줄 요약.

1. 다음 팟플레이어의 보안 취약점을 이용한 악성코드가 유포되고 있다.

2. 최신버전으로 업데이트해도 소용없음. 악성코드가 과거버전으로 파일을 바꿔버림..

3. 악성코드에 감영되면 짱깨한테 금융사기당할수 있으니 주의바람.