악성 파일 정보

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04)

1. 개요


잉카인터넷 대응팀은 국내 유명 인터넷 라이브 방송 사이트의 동영상 플레이어 설치파일 등의 변조를 통하여 국내 인터넷 뱅킹용 악성파일이 유포 중인 것을 발견하였다. 정상적인 인터넷 방송 서비스의 모듈을 위변조하여 사용자 몰래 악성파일을 설치하는 형태이기 때문에 이용자들은 감염 여부 인지자체가 어려울 것으로 예상되며, 인터넷 뱅킹 사용자들의 직접적인 예금인출 사고로 연결될 위험성이 크다고 판단된다. 따라서 인터넷 방송 사이트와 인터넷 뱅킹 사용자들의 각별한 주의가 요망된다. 잉카인터넷 대응팀은 해당 악성파일의 변종을 다수 입수 하였으며, 금융권 보안관계자 등 유관기관에 해당 정보를 신속하게 공유한 상태이다.




- 당신의 인터넷 뱅킹 예금은 안녕하십니까?
- 국내 유수의 인터넷 뱅킹 사용자를 노린 불법 예금인출 시도형 악성파일 출현
- 정상적인 인터넷 방송 플레이어, 토렌트 설치파일을 위변조하여 악성파일 유포
- 인터넷 뱅킹 보안승급 서비스로 위장하여 금융 개인정보 탈취 시도
- 정교하게 조작된 가짜 공인인증서 로그인 화면을 보여주어 정보 탈취 시도
- 변종 악성파일이 다수 발견된 상태, nProtect AVS3.0, nProtect Netizen 진단/치료 가능

국내 금융권 인터넷 뱅킹 사이트 중 nProtect Netizen 보안서비스가 적용되어 있는 경우 사용자가 감염된 상태에서 해당 인터넷 뱅킹 사이트 접속시 다음과 같이 진단/치료를 통해서 즉각적인 악성파일 대응이 가능하고, 지속적으로 변종이 출현하고 있기 때문에 꾸준한 업데이트가 중요하다.


[전용백신]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

2. 악성파일 전파 방식

톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일
http://erteam.nprotect.com/290

동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포
http://erteam.nprotect.com/217

국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
http://erteam.nprotect.com/160

해당 악성파일은 국내의 특정 인터넷 방송 사이트의 정상적인 동영상 재생 스트리밍 프로그램이 변조되어 배포되는 형태로서, 사용자들은 정상적인 프로그램을 설치하는 과정에서 자신도 모르게 악성파일에 노출되는 과정을 거치게 된다. 특히, 해당 사이트에는 특정 연예인들이 직접 방송하는 서비스를 진행 중이다.

또한, 파일 공유 서비스의 한 종류인 uTorrent 설치 파일이 변조되어 유포된 경우도 존재하고 있어, 공격자는 국내 여러 사이트에 존재하는 정상적인 설치 프로그램을 위변조하여 악성파일이 함께 설치하도록 지능적인 수법을 이용하였다.

▣ 유포 사례 1 : 인터넷 방송 동영상 재생 프로그램 위변조 수법


동영상 방송을 시청하기 위해서 해당 사이트로 접속하면 다음과 같이 동영상 스트리밍 플레이어 설치 권장 화면을 보여준다.


[설치하기] 버튼을 클릭하면 다음과 동영상 플레이어 관련 파일의 다운로드가 시도된다.


다운로드된 "Install_LiveManagerPlayer.exe" 파일은 악의적인 공격자에 의해서 SFX RAR 로 정상파일과 악성파일이 복합적으로 압축되어 포함되어 있고, 실행시 악성파일(HDSetup.exe)과 정상파일이 함께 실행되도록 명령되어 있다.



정상파일도 실행시켜 주기 때문에 사용자는 아래와 같은 정상적인 프로그램 설치 화면을 보게 된다.


정상적인 설치가 완료되면 LiveStar 라는 경로에 모듈이 생성되며, 아래와 같이 생성된 것을 확인할 수 있다.


그러나 설치 과정 중에 사용자 몰래 윈도우 경로에 실제 정상적인 동영상설치 파일과 악성파일이 사용자 몰래 설치되고, 실행된다.


"CONFIG.INI" 설정을 통해서 명령 서버를 구성하며, 호스트파일을 변경하여 특정 인터넷 뱅킹 사이트 접속시 악의적인 웹 사이트로 접속하도록 만든다.

표적이 되고 있는 국내 인터넷 뱅킹 사이트는 다음과 같다.

▶ 국민은행 (kbstar.com. kbstar.com, obank.kbstar.com)
▶ 농협NH (banking.nonghyup.com)
▶ 우리은행 (www.wooribank.com, wooribank.com, pib.wooribank.com)
▶ 외환은행 (bank.keb.co.kr,
www.keb.co.kr



사용자가 정상적인 인터넷 뱅킹 웹 사이트를 접속하게 되면 아래와 같이 정상적으로 보이지만 가짜 웹 사이트로 연결된다. 그리고 보안승급서비스로 위장된 팝업창이 보여지면서 사용자로 하여금 개인정보 입력을 유도하게 된다. 이러한 방식은 최근까지 스마트폰 이용자들에게 문자로 피싱 사이트 정보를 보내어 사용되었던 수법 중에 하나이다.

인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258

◈ 호스트파일 변조를 통한 은행별 가짜 화면 사이트
: 실제 정상적인 도메인처럼 보여지지만 가짜 웹 사이트이다.

[외환은행 가짜 사이트 화면]


[우리은행 가짜 사이트 화면]


[농협 가짜 사이트 화면]


아래는 표적이 된 여러 은행 사이트 중에 대표적인 국민은행 사용자의 경우를 "예시"로 자세히 살펴본 내용이며, 은행 사이트에 따라 조금 씩 다른 화면을 볼 수 있다.

악성파일에 감염된 상태에서 국민은행(kbstar.com) 사이트에 접속하게 되면 호스트 파일(hosts) 변조로 인하여 아래와 같이 가짜 국민은행 사이트로 접속되고, 허위 "KB 인터넷 뱅킹 보안승급 서비스" 팝업창이 나타나게 된다. 정상적인 국민은행 웹 사이트에는 이러한 보안 승급 서비스라는 것이 존재하지 않는다.


팝업창에 존재하는 [보안승급바로가기] 버튼을 클릭하게 되면 아래와 같이 또 다른 웹 사이트로 연결되지만, 이것 역시 허위 사이트이다.


[보안승급바로가기] 부분을 클릭하면 다음과 같이 사용자 실명과 주민등록번호를 입력하도록 유도하여 개인정보 입력을 탈취 시도한다.


그 다음으로 출금계좌번호, 사용자ID, 비밀번호, 보안카드일련번호, OTP, 보안카드 등의 정보 입력을 유도하는 가짜 화면을 보여주게 된다.


또한, 가짜 공인인증서 로그인 화면을 보여주어 사용자의 개인정보 탈취를 시도한다.


공인인증서 화면은 진짜와 가짜가 거의 비슷하게 제작되어 있으며, 화면 크기가 조금 다르고, 메인 배너 화면도 크기에 차이가 있다는 것을 알 수 있지만, 일반인이 가짜 화면을 구분하기는 거의 불가능에 가까울 정도로 정교하게 만들어져 있다.


아울러 공인인증서 정보 유출 목적 등으로 사용자 컴퓨터에서 공인인증서 경로를 파악한다.


악성파일들은 다양한 변종이 존재하며, 홍콩의 특정 호스트로 접속하여 악의적인 행위를 수행한다. 또한, 악의적인 IP 주소도 계속 변경되고 있어 앞으로도 꾸준한 보안 위협으로 대두될 것으로 예상된다.




▣ 유포 사례 2 : uTorrent 파일공유 프로그램 위변조 수법

유명한 파일 공유 프로그램의 한 종류인 토렌트 설치파일이 국내의 특정 사이트에서 재배포 중인데, 해당 토렌트 설치 파일이 변조되어 동일한 (변종)악성파일이 배포되었다.


사용자가 해당 웹 사이트에서 [다운로드] 부분을 클릭하면 변조된 악성 설치파일이 다운로드 시도된다.


다운로드 된 "uTorrent.exe" 파일을 실행하게 되면 다음과 같이 윈도우 폴더 경로에 CONFIG.INI, CretClient.exe, HDSetup.exse, uTorrent.exe 파일 등이 즉시 생성되는 것을 확인할 수 있다.

그 다음에 악성파일과 정상적인 uTorrent.exe 파일이 2차 실행되기 때문에 사용자는 해당 프로그램 설치 이전에 이미 악성파일에 노출(감염)되게 된다.


악성파일이 설치되는 경우는 상기와 같고, 인터넷 뱅킹 사이트 접속시 나타나는 증상은 위에서 설명한 내용과 동일하다.

인터넷 방송 동영상 재생프로그램과 파일 공유 프로그램의 설치본 등도 유사한 수법으로 위변조되어 동일한 종류의 악성파일을 배포했다는 점에서 다수의 형태가 더 존재할 가능성을 배제하기 어렵다. 

3. 마무리

해당 인터넷 방송 사이트를 사용하는 사용자들은 nProtect Anti-Virus 최신 버전으로 업데이트하여 전체 검사를 진행하는 것이 필요하며, 발견되는 악성파일은 반드시 치료하도록 하여야 한다.

또한 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.

[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/

댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기