1. 국산 Adware 프로그램 변조를 통한 인터넷 뱅킹 공격 시도

2013년 12월 23일 잉카인터넷 대응팀은 국내에 지속적으로 유포 중인 변칙적 광고프로그램(Adware)을 조작한 후 메모리 해킹용 인터넷 뱅킹 악성파일(KRBanker) 변종을 몰래 유포시키고 있는 정황을 포착하였다. 이 수법은 전자금융사기 범죄자들이 보안업체의 관제 및 탐지를 우회하기 위해서 애드웨어 모듈까지 은밀히 변조하여 사용하고 있는 지능적 공격방식이다.

잉카인터넷 대응팀은 지난 2013년 07월 경에도 이와 관련된 정보를 최초 공개한 바 있으며, 2013년 12월에 동일 방식의 메모리 해킹 기능의 인터넷 뱅킹용 악성파일(KRBanker) 변종이 다수 전파되고 있는 사실을 확인했다.

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
☞ http://erteam.nprotect.com/437

2. 인터넷 뱅킹 악성파일을 품은 애드웨어

우선 악성파일 유포자들은 각종 애드웨어들의 유포 통로를 통해서 은밀하고 조용하게 고도화된 전자금융사기용 악성파일을 배포하는 창구로 악용하고 있다. 국내에 유포 중인 대부분의 변칙 광고프로그램들은 마치 정상적인 다운로드 프로그램이나 런처 등으로 위장하여 이용자들을 현혹시키고 있고 무수히 많은 변종들이 양산되고 있는 추세이다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319

[뉴스]애드웨어로 전파된 신종 메모리 해킹 일당 검거 (SBS 8시뉴스)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002198339


한 예로 이용자들이 유명 포털 검색 사이트를 통해서 특정 프로그램을 검색하면 공식 사이트가 아닌 개인 블로그나 인터넷 카페 등에 등록되어 있는 비정상적인 다운로드 프로그램을 안내하고, 제휴프로그램이라는 명목으로 이용자 몰래 다수의 애드웨어를 설치하도록 유도하고 있다. 대부분의 변칙 광고프로그램은 이용자들에게 실제 설치되는 화면을 보여주지 않고 몰래 설치하기 때문에 그 과정을 인지하기 어렵다.  

 
상기와 같이 검색결과를 통해서 접속한 특정 블로그에 마치 정상적인 APK 파일처럼 위장한 다운로드 링크가 존재하지만, 실제로 클릭을 하게 되면 실행형(EXE) 프로그램이 다운로드되어 이용자의 실행을 유도하고, 교묘하게 숨겨져 있는 추가 다운로드 프로그램을 통해서 다수의 애드웨어들이 몰래 설치되도록 하는 방식이다.


이렇게 전파 중인 애드웨어도 사회적인 문제이지만, 사이버 범죄자들이 이런 광고프로그램의 모듈을 추가 변조하여 인터넷 뱅킹용 악성파일 전파에 남용하고 있는 상황이고, 애드웨어 업체들에 대한 법률적 규제사항이 부족해 무분별한 유포로 이어지고 있는 실정이다.

이에 잉카인터넷 대응팀은 비정상적인 유포방식에 대한 자체 기준안을 통해 이용자들의 불편을 최소화하는데 초점을 맞추고, 악성파일 유포 경유지로 악용되는 사례 공개와 이용자 관점에서 탐지 및 치료패턴을 지속적으로 추가하고 있다. 



국산 애드웨어처럼 위장한 인터넷 뱅킹용 악성파일은 2013년 12월 23일 경 다수의 변종이 제작되었으며, 파일 섹션명을 동일하게 사용하는 특징도 존재한다.

[##_http://erteam.nprotect.com/script/powerEditor/pages/1C%7Ccfile9.uf@2343B24D52C601940CADE4.png%7Cwidth=%22553%22%20height=%22241%22%20alt=%22%22%20filename=%2205-w.png%22%20filemime=%22image/jpeg%22%7C_##]
상기에 공개한 특정 애드웨어 외에도 다른 업체의 애드웨어도 동일 범죄조직에 의해서 인터넷 뱅킹 악성파일 변종유포에 이용한 사례가 다양하게 존재한다. 아래의 경우는 국내 허위 보안제품이 조작되어 메모리 해킹용 악성파일이 유포된 종류이다.

 

애드웨어 프로그램으로 위장한 악성파일이 실행되면 아래와 같이 국내 온라인 게임 계정 및 인터넷 뱅킹용 악성파일 등이 다양하게 설치하며, 원래 실행됐던 악성파일은 본래의 애드웨어 프로그램으로 정상 교체하여 자신의 노출을 최대한 숨길려고 한다.


설치된 "kakutk.dll" 악성파일은 국내 금융사이트를 대상으로 메모리 해킹 및 금융정보 탈취 기능을 수행하며, 변종이 꾸준히 발견되고 있다.



이번 메모리 해킹 변조용 인터넷 뱅킹 악성파일은 기존 금융보안 모듈 변조 대상에서 일부 모듈이 추가되었고, 대상 금융사이트도 추가되었다.


또한, 보안카드 입력 오류처럼 위장하는 수법도 추가되었다.




3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 
2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


  

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 지속적으로 새로운 변종에 대한 출현으로 이슈가 되고 있는 KRBanker가 이번에는 애플 아이콘으로 위장한 변종이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 2012년 12월 7일은 애플의 새로운 스마트폰 아이폰5 제품의 국내 출시일이며, 해당 악성파일 제작자는 이를 이용해 사회공학적 기법을 통한 악성파일의 유포를 시도하고 있다는 것이 이번에 발견된 KRBanker 변종에서 주목 할 만한 점이라 할 수 있다.

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

  

2. 국내 사정이 고려된 교묘한 사회공학적 기법!


12월 7일은 애플의 새로운 스마트폰 아이폰5의 국내 출시일이다. 이번에 발견된 KRBanker의 변종은 유포 시기가 이와 겹쳐 국내 사정이 고려된 변종 제작으로 추정되고 있으며, 당분간 이러한 사회공학적 기법을 이용해 장기 지속적으로 변종이 출현할 가능성이 크다. 아래의 그림은 이번에 발견된 새로운 KRBanker 변종이 사용하고 있는 아이콘이다.


해당 변종은 기존에 유포 되었던 기타 다른 KRBanker 변종들과 악성 기능적인 면에서는 별다른 차이점이 존재하지 않고 있다. 아래의 그림은 이번 KRBanker 변종에 의해 변조되는 hosts파일에 등록된 피싱 목록이다.

 

※ 전체 피싱 목록

- 국민은행
- 농협
- 기업은행
- 새마을금고
- 우체국


이외에 피싱화면 및 기타 악성 동작 등은 기존에 출현했던 변종들과 별다른 차이점이 없으며, 피싱 목록과 매칭되는 IP주소의 위치는 아래의 그림과 같이 캐나다 벤쿠버로 확인되고 있다.

3. KRBanker 변종에 대한 예방 조치 방법

KRBanker는 국내 사정에 정통한 제작자에 의해 제작 및 유포가 이루어지는 만큼, 위와 같이 다양한 사회공학 기법을 이용하여 유포 및 감염을 유도할 수 있으며, 대부분의 1차 감염이 취약한 웹 사이트의 접근 등을 통해서 이루어 지고 있다.

게다가 해당 악성 파일은 대부분의 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/




 

저작자 표시
신고
Posted by nProtect

1. 개 요


국내 주요 은행사의 인터넷뱅킹 서비스와 유사한 사이트 화면을 출력하여 계좌 정보 등을 탈취하는 악성파일이 최근 정보 탈취 방법을 수정한 변종의 출현과 함께 다시한번 이슈가 되고 있다. 이번에 발견된 해당 악성파일은 감염 시 피싱 사이트 목록에 시티은행을 추가하는 것이 기존의 다른 변종들과 큰 차이점이라 할 수 있다. 해당 악성파일은 hosts 파일을 변조하여 사용자가 특정 은행사의 인터넷 뱅킹 사이트에 접속시 이를 감지해 실제로는 악성파일 제작자가 미리 준비해 놓은 사이트로 접속을 시도 하게 된다. 

해당 사이트는 실제 은행 사이트와 매우 유사하게 제작되어 있어 일반 사용자들은 쉽게 현혹될 수 있으며, 정보 탈취를 위해 출력되는 팝업창에 각종 계좌 정보의 입력을 유도하는 등 사용자로 하여금 금전적인 피해를 유발할 수 있다.

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 정보 탈취 방법의 변화

이번에 발견된 일명 KRBanker(Korea + Banker)의 새로운 변종은 기존에 출현했던 변종들과 비교하여 아래의 사항들과 같은 변경점들이 존재한다.

※ 전체 변경 사항

- 정보 탈취를 위해 유도되는 팝업창의 변화 (사이트 접속시 바로 피싱을 위한 경고창 등 출력)
- 생성되는 파일 목록 및 내용의 변화 (wmplayer.ini : 접속 시도 IP -> 버전정보)
- 알약 모듈로 위장
- 금융 피싱 사이트 목록 추가 (시티은행)


우선, 해당 악성파일이 다운로드 되면 아래의 그림과 같이 이스트소프트 알약 또는 알툴즈 업데이터와 관련된 아이콘으로 위장되어 있음을 확인할 수 있다.



이미지와 함께 파일명, 그리고 속성까지 정상적인 알약 모듈인것 처럼 위장하고 있다. 또한 기존과 같이 델파이로 제작되어 있으나, 실행 압축 형태로 제작되지는 않았으며, 생성되거나 변조되는 파일의 목록은 아래와 같다.

※ 생성 및 변조 파일 목록

- (프로그램 폴더)\Windows Media Player\wmplayer.ini (21 바이트)
- (윈도우 시스템 폴더)\drivers\etc\hosts (1,528 바이트)


특히, 이번에 발견된 변종의 경우 새롭게 "시티은행"이 추가된 점이 주목할만 하다. 아래의 그림은 시티은행이 피싱 목록에 포함되어 있음을 확인할 수 있는 변조된 hosts 파일의 전체 리스트이다.


아래는 이스트소프트 모듈로 위장하는 추가적인 KRBanker 변종이 가지고 있는 피싱 목록이다.

 


또한, hosts 파일이 변조되면서 윈도우 미디어 플레이어 폴더에 아래의 그림과 같은 wmplayer.ini 파일을 생성하게 되는데 내부에는 이전과 같은 IP정보가 아닌 특정 버전 정보가 입력되어 있다.


◈ 감염 후 실제 은행 사이트 접속 시 피싱 화면

이번에 발견된 KRBanker의 새로운 변종은 특정 은행 인터넷뱅킹 사이트에 접속하자 마자 아래의 이미지와 같이 피싱 및 해킹 등과 같은 금융피해 예방 차원이라는 안내 팝업창과 함께 계좌 정보의 탈취를 시도하는 것이 특징이다.

[기업은행]



[외환은행]




[시티은행]




[우리은행]



[하나은행]


[농협]


감염 후 특정 은행 사이트 접근 시 접속되는 피싱 IP주소(110.34.231.150)는 언제든지 변경될 수 있으며, 해당 IP의 주소는 아래의 그림과 같이 현재 대만으로 확인되고 있다.


3. KRBanker 예방 조치 방법

최근 스마트폰을 비롯하여 금융관련 보안 사고가 지속적으로 보고되고 있다. 가장 최근인 금일에는 뉴스매체를 통해 계좌 정보, 공인인증서 정보 등의 대량 탈취로 인해 발생한 것으로 추정되는 소액결제를 통한 상당 금액의 금융피해 건이 보고된 바 있다.

국내 사정에 정통한 악성 파일 제작들에게 더이상 국내 대다수의 사용자들을 대상으로 악성 파일의 유포를 시도하는 것은 어려운일이 아닐 수 있다. 더불어 위와 같이 특정 은행사 인터넷뱅킹 사이트와 유사한 사이트를 제작하여 정보 탈취를 시도한다면 일반 사용자들은 별다른 의심없이 쉽게 현혹되어 자신의 계좌 정보 등을 입력하여 악성 파일 제작자에게 전송하게 될 것 이다.

애초부터 사용자들을 속여 자신들의 목적을 이루기 위해 제작되는 악성 파일들은 사용자들이 육안상으로 식별해 내기란 매우 어려우며, 취약점이 존재하는 웹 사이트 접속만으로도 쉽게 감염될 수 있다. 때문에 이러한 KRBanker의 변종들로 부터 안전한 인터넷뱅킹 등 금융관련 서비스 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


 

저작자 표시
신고
Posted by nProtect
1. 전자금융사기용 KRBanker 2번 사기를 친다.

 

잉카인터넷 대응팀은 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 새로운 형태로 진화되고 있는 이상징후를 포착하였다. 2012년 6월 초 부터 변종별로 시리즈가 꾸준히 발견되고 있는 국내 전자금융사기용 악성파일(KRBanker)은 초기 호스트파일(hosts)을 이용하는 방식이 유행한 바 있고, 다음으로 호스트파일을 사용하지 않고 독립적으로 활동하는 방식이 발견된 바 있다. 최근에는 피싱사이트 차단 시간이 짧아지고, 악성파일의 생존시간을 최대화하기 위해서 C&C 서버를 통한 신규 피싱사이트로 자동업데이트 하는 방법 등의 새로운 기술과 결합하여 사용되고 있었다. 그러나 2012년 10월 18일에 발견된 형태는 인터넷 뱅킹을 접속하지 않아도 가짜 메시지 안내창을 출력하여 사용자에게 즉시 인터넷 뱅킹 사이트로 접속하도록 유도하고 있다.

[참고]잉카인터넷 nProtect Anti-Virus 제품군에서는 국내 인터넷 뱅킹용 악성파일 변종들에 대해서 "KRBanker" 이름을 대표 탐지명으로 사용하고 있다. 악성파일 진단명은 우리나라(Korea)와 인터넷 뱅킹용 악성파일(Banker)의 의미를 합성한 용어이다.

Korea + Banker = KRBanker


이는 KRBanker 악성파일이 사용하는 피싱 도메인이 신속하게 차단되자, 공격자들은 악성파일에 감염된 사용자가 피싱사이트가 발각되어 차단되기 이전 시점에 사용자들이 즉시 피싱사이트로 접속하도록 미끼를 사용하는 방식으로 진화했다고 분석할 수 있다.

2. 가짜 메시지 창을 출력하는 악성파일(KRBanker) 변종 등장

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339


이번에 발견된 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종은 한국어 언어용 델파이 프로그램으로 개발되었고, "bbb.exe" 라는 메인 숙주에 의해서 다양하게 설치되는 형태를 가지고 있다.


"bbb.exe" 파일 내부에는 "ad.exe", "Sad.exe" 라는 파일이 포함되어 있다. "ad.exe" 파일도 SFX RAR 파일 형태로 내부에  "Demos.exe", "MyKB.exe" 파일 등이 포함되어 있다.


"ad.exe" 파일 내부에는 KRBanker 변종과 가짜 공인인증서에 사용되는 이미지 등이 포함되어 있다.

 
"1.bmp" 부터 "9.bmp" 파일은 아래과 같고, 각 금융권에서 사용하는 공인인증서 이미지이다.

 


악성파일에 감염된 이후 일정시간이 지나면 다음과 같이 한글로 작성된 가짜 안내 메시지 창이 사용자 컴퓨터 화면에 강제로 출력된다. 악성파일 스스로가 전자금융사기용이라는 점에서 사용자를 2번 속이는 매우 황당한 메시지 창이라 할 수 있고, 그 만큼 최근에 이런 보안위협이 증가하고 있다는 것을 역이용한 것이다.

더불어 안내 메시지 창은 한글 문법상 잘못된 부분은 크게 없어보이나, 일부 잘못된 띄어쓰기가 존재하는 등 매우 어눌한 특징이 있다. 이 부분은 최근까지 발견된 인터넷 뱅킹용 악성파일이 접근시도하는 피싱사이트에서 흔히 접할 수 있었던 공통점 중 하나이다. 이것으로 보아 한글을 구사할 수 있는 사람이 악성파일 제작에 참여하고 있는 것으로 추정된다.

제목 :
전자금융사기 예방서비스 시행안내

내용 :
피싱및 해킹으로인한 금융사기가 지속적으로 발생하고 있습니다.
10월15일 부터 모든 은행권에서 전자금융사기 예방서비스를 시행합니다.
자세한 사항은 각은행 홈페이지에서 확인하시기 바랍니다.

 
악성파일은 다음과 같이 국민은행, 우리은행, 농협, 하나은행, 기업은행, 신한은행, 우체국, 새마을금고 등의 인터넷 뱅킹 사이트를 미국의 특정 피싱사이트 IP주소(184.105.203.52)로 가로채기 하도록 프로그래밍되어 있다.


악성파일 코드를 분석해 보면 내부 리소스에 가짜 공인인증서가 나오도록 한글로 된 여러가지 기능이 포함되어 있다. 실제로 피싱 사이트에서 공인인증서 로그인 시도시 조작된 가짜 공인인증서 화면이 출력되어 사용자로 부터 공인인증서 정보 유출을 시도한다.


이번에 발견된 가짜 공인인증서 화면은 기존보다 훨씬 정교화되었다. 각각의 메뉴와 아이콘을 개별적인 리소스로 사용하였고, 한글 델파이 언어를 통해서 한글도 적절히 사용하였다.

정상적인 공인인증서 로그인 화면과 조작된 가짜 공인인증서 로그인 화면을 비교해 보면, 인증서 메뉴의 문자[구분] 등에서 정렬방식에서 차이가 조금 있고, [인증서보기][인증서 찾기][인증서 삭제]와 [선택한 인증서의 암호를 입력하세요.] 등의 줄 간격이 매우 조금 차이가 날 뿐 육안으로 구분하기 어려울 정도로 정교하게 만들어져 있다.


악성파일이 감염된 상태에서 사용자가 다음과 같은 국내 인터넷 뱅킹 사이트를 접속할 경우 가짜 피싱사이트 IP주소(184.105.203.52)로 접속이 변경된다. 그러나 사용자의 인터넷 웹 브라우저 주소에는 정상적인 인터넷 뱅킹 도메인 주소가 보여지기 때문에 사용자는 가짜 사이트인지 육안으로 판단하기가 쉽지 않다.


은행별로 피싱 IP주소(184.105.203.52)와 포트가 매칭되도록 만들어져 있으며, 해당 IP주소는 공격자가 언제든지 변경해서 사용할 수 있으므로, 지속적인 탐지와 차단이 요구된다. 피싱 IP 주소는 미국의 호스트에서 사용하는 곳이다.


kbstar.com (국민은행)
http://184.105.203.52

wooribank.com (우리은행)
http://184.105.203.52:81

banking.nonghyup.com (농협)
http://184.105.203.52:82/

keb.co.kr (외환은행)
http://184.105.203.52:83/

hanabank.com (하나은행)
http://184.105.203.52:84/

mybank.ibk.co.kr (기업은행)
http://184.105.203.52:85/

http://www.ibk.co.kr/ (기업은행)
http://184.105.203.52:86/

banking.shinhan.com (신한은행)
http://184.105.203.52:87/

epostbank.go.kr (우체국)
http://184.105.203.52:88/

ibs.kfcc.co.kr (새마을금고)
http://184.105.203.52:89/

보통 최근에 많이 발견되는 피싱은 시중 금융권이 사용하는 인터넷 뱅킹 도메인과 유사한 방식으로 사용자를 속이는 방법이 많이 사용된다. 하지만 이 방식은 실제 정상적인 인터넷 뱅킹 주소가 보여진다. 따라서 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종에 감염된 경우 다음과 같이 국민은행에 접속하면 정상적인 도메인으로 연결이 된다. 악성파일은 사용자가 국민은행에 접속된 것을 인지하고, 사용자가 [로그인] 버튼을 클릭시도하게 되면 피싱사이트로 IP주소를 가로채기 시도하기 때문에 육안상으로 확인가능한 도메인 주소만으로 진짜 및 가짜 여부를 판단하기는 거의 불가능하다.


피싱사이트로 접속이 이루어지면, 기존과 동일하게 보안승급(강화)서비스라는 명목으로 사용자 정보입력을 유도하고, 가짜공인인증서 화면 등을 통해서 인증서 정보 탈취를 시도한다.


기타 다른 은행과 관련된 피싱사이트들도 유사한 방식으로 사용자들의 금융정보 탈취를 시도한다.

 






 

 

3. 국내 인터넷 뱅킹용 악성파일 대비

악성파일(KRBanker)을 조직적으로 유포시도하는 범죄자들은 짧은 시간에 많은 사용자들에게 악성파일을 설치하는 것이 가장 주된 목적 중에 하나이다. 그 만큼 고도의 다중 공격수법을 활용하고자 하는 것이 일반적이며, 최신 보안 취약점과 불법적인 해킹 등을 결합하여 사용한다. 또한, 상대적으로 인터넷 이용률이 높고 보안업무 근무자가 적은 주말이나 야간시간에 집중적으로 악성파일을 배포하는 성향을 띄고 있다. 더불어 국내의 수 많은 웹 사이트와 개인 컴퓨터가 Malware Botnet 과 C&C 서버로 남용되고 있어 인터넷이 마치 커다란 지뢰밭과 같은 위험 천만한 곳이라 해도 과언이 아닐 정도이다.

국민은행에서는 다음과 같이 금융사기 주의 안내 공지를 제공하고 있다.


그렇다면 이런 위험한 상황에서 악성파일(KRBanker)로 부터 안전하게 자신의 금융자산을 보호하기 위한 방안은 무엇일까? 제일 먼저 악성파일이 유입될 수 있는 조건을 최소화하는 것이다. ▶이미 널리 알려져 있는 대표적인 보안취약점을 모두 업데이트하여 제거하고자 하는 사용자 스스로의 능동적인 노력이다. 악성파일들은 Zero-Day 공격뿐만 아니라 이미 널리 알려져 있는 최신 보안취약점을 이용해서 해킹된 웹 사이트에 접속만으로도 감염될 수 있도록 하는 방식을 널리 이용하고 있다. 따라서 다음과 같은 보안 업데이트는 선택이 아닌 필수로 반드시 설치하도록 하며, 수시로 취약점이 발견되고 있으니, 최소 1~2주일에 한번 이상은 최신 보안업데이트 출시 여부를 파악해서 설치하도록 하여야 한다.

[중요]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250


A. Windows 제품군
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko


B. Adobe 제품군
- 플래시 플레이어와 PDF 리더
http://get.adobe.com/kr/flashplayer/ / http://get.adobe.com/kr/reader/

C. JAVA 제품군
http://www.java.com/ko/

그외 기본적인 보안제품(Anti-Virus, Personal Firewall) 등을 설치하고, 최신 업데이트를 반드시 설치하고, 백신의 경우 실시간 감시 기능을 활성화하여 이미 알려져 있는 악성파일이 감염활동하지 못하도록 시스템의 보안을 강화한다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect