반응형
인증서
-
Retefe 트로이목마 소개카테고리 없음 2016. 7. 25. 14:11
Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다. 이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다. 다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으..