Adobe Reader 취약점을 악용해 감염되는 Vawtrak 악성코드 발견

• 미국의 보안 솔루션 개발 업체인 PHISHME가 Adobe Reader 취약점을 악용해 감염되는 Vawtrak
  (또는 Neverquest) 악성코드를 발견
    ※ Vawtrak : 온라인뱅킹에 주로 사용되는 악성코드로 은행 및 카드사의 고객이 주요 공격대상임

주요내용

• PHISHME에 의하면, 기존 온라인뱅킹에서 악용되던 Vawtrak 악성코드가 Adobe Reader의 취약점을 악용
  하는 이메일 피싱에서 발견
   - Vawtrak은 트로이목마의 일종으로 2000년대 중반부터 발견되었으며, 백도어를 통해 감염된 PC를 원격 
     조작하는 특징이 있음
   - 지난 2014년 4월부터 일본, 중국 등 동아시아 국가에서 Vawtrak의 감염사례가 급증하였고, 주로 윈도우
     로컬 그룹정책을 악의적으로 변경해 보안 제품을 무력화한 후 이를 통해 온라인뱅킹 이용시 사용되는 공인
     인증서 등을 탈취
•  새로 발견된 Vawtrak 악성코드는 PDF파일이 첨부된 이메일 피싱을 통해 전파되었으며, 사용자가 PDF파일을 다운받아 실행하였을 경우 악성코드에 감염

< PDF파일을 첨부한 이메일 피싱 >

          - 해당 PDF 파일은 급여서비스 제공 업체인 ADP의 온라인 영수증으로 위장하고 있으며, 취약한 버전의 
            Adobe Reader을 이용해 PDF 파일을 실행하였을 경우 Vawtrak 악성코드에 감염

< Vawtrak 악성코드가 다운로드 되는 URL >

• 새로운 Vawtrak 악성코드는 기존의 인증정보 수집 및 온라인 뱅킹의 사기거래 자동화 기능 외에, 사용자의 
  개인정보, 금융정보 등을 탈취하기 위해 정상페이지에 가짜 입력창을 삽입
   - 가짜 입력창에서 입력된 정보는 공격자의 제어시스템으로 전송되며, 이를 통해 사용자가 온라인으로 은행
     계좌에 로그인 할 때 공격자는 사용자의 금융정보를 탈취하는 등의 행위가 가능
• 최근 보안업체가 Spy Eye, Shylock 및 Gameover Zeus 등의 주요 악성코드를 분석하고 백신제품 등에 해당
  패턴을 반영함에 따라 Vawtrak 악성코드가 급증하고 있으며, 공격대상 또한 기존의 동아시아에서 미국,
  캐나다 등으로 광범위하게 전파되고 있기 때문에 지속적인 주의가 필요함

[출처] 
1. scmagazine.com, “Researchers analyze phishing campaign spreading 'vawtrak' malware”, 2014.9.10.
2. phishme.com, “PDF Exploits: A Deep Dive”, 2014.9.8.
3. news.softpedia.com, “Updated Vawtrak Banking Malware Strain Expands Target List”, 2014.9.4.
4. infosecurity-magazine.com, “Vawtrak/Gozi Banking Trojan Poised to Become Major Threat”, 2014.9.7.
5. itmedia.co.jp, “不正送金マルウェアが猛威、2段階認証突破を試す機能も”, 2014.9.11.