엔진 업데이트

[주의]한국 맞춤형 악성파일 지난 10년간의 실체 전격해부

■ 10년 넘게 한국을 공격 중인 악성파일, 그 실체를 밝힌다!

잉카인터넷 시큐리티 대응센터(ISARC)에서는 수년 간 국내에 유포된 악성파일의 유사성 및 연관관계를 관찰하고 프로파일링 하던 과정 중 매우 흥미로운 점을 찾아냈다. 그동안 국내 컴퓨터 이용자들에게 무작위로 전파되었던 악성파일 중 ▶온라인 게임 계정 탈취형▶피싱/파밍/메모리해킹 전자 금융정보 탈취형▶유명 웹 사이트 관리자 계정 탈취형▶비트코인/프로토쉐어 가상화폐 정보 탈취형▶업데이트 모듈 교체 유포기법 형태,  ▶유효 디지털 서명 악용 형태▶정상파일 변조기법 형태,  ▶원격제어 기능 형태▶Drive by download 방식에 모바일 공격코드 추가 형태▶한국과 일본의 맞춤형 표적공격 형태 등 각각 기능이 다른 다종의 악성파일이 매우 복잡하게 얽혀 있지만 숨은 연결고리가 존재하고 있다는 단서를 장기간 연구끝에 알아냈고, 그 내용을 처음으로 공개하고자 한다.

먼저 이 악성파일 유포조직의 계보와 특징을 정확히 파악하기 위해서는 과거 10년 전부터 최근까지 국내를 직접적으로 겨냥한 악성파일의 이해가 선행적으로 충족되어야 하며, 각각의 악성파일이 보유한 방대한 코드정보를 축적하고 있어야 가능하다. 즉, 국내에서 벌어지고 있는 사이버범죄의 과거와 현재 그리고 시시각각 빠르게 변화하고 있는 트렌드를 알고 있어야 한다.

ⓐ 온라인 게임산업의 역사, 범죄의 유혹! 그 과거로의 시간여행

현재는 웹 사이트와 각종 보안취약점을 결합한 악성파일 전파기술이 전혀 새로운 것이 아니지만, 약 10년 전에는 이러한 공격방식이 막 태생하여 다양한 공격시도가 꿈틀되던 초기시절이다. 이 당시 대한민국은 다양한 온라인 게임보급과 PC방 창업, 프로게이머 직업의 인기 등으로 온라인 게임 산업의 르네상스로 이어졌다. 온라인 게임 이용자들이 많아지고, 어느 순간부터 이들이 보유한 각종 게임 아이템 및 이용자 계정이 유료로 거래되는 시장이 자연스럽게 만들어져 갔다.

사이버 머니(Money)가 실물 현금으로 교환되면서, 사람이 아닌 프로그램이 자동으로 게임을 하고, 아이템을 스스로 수집하는 변칙적인 오토 프로그램 등도 양산되었으며, 이른바 작업장이라고 해서 게임 아이템만 전문적으로 수집하기 위한 모임이나 조직들이 운영되었다. 또한, 일부 전문적인 해커들은 온라인 게임의 취약점을 찾아내서 불법적으로 승부나 순위를 조작해 단시간에 고가 아이템을 확보하는 사건까지 발생하면서 저절로 게임보안 시장도 급부상 하였다.

ⓑ 2006년 온라인 게임 계정 탈취형 악성파일의 해부
 
2004년 전후로 국내 온라인 게임 이용자들을 표적으로 한 다양한 악성파일이 제작되어 유포되었는데, 매우 많은 변종이 다양한 기법을 이용했었다. 그 중 2006년 국내 사이트를 해킹하여 유포된 대표적인 게임계정 악성파일의 구조를 보면 아래와 같다. 특정 온라인게임 자동 로그인 주소에서 사용하는 인자를 활용한다. 따라서 악성파일은 해당 변수값을 모니터링하고 있다가 온라인 게임 사이트의 계정을 탈취하게 된다.

http://id.***game.com/login.nhn?turtle=ID&earthworm=PASSWORD&nxtURL=http://www.***game.com&ssl=Y



악성파일은 로컬 키보드에서 입력되는 키로깅 후킹기법 보다는 특정 변수명을 체크해서 계정탈취를 이용하고 있다. 당시 국내외 다양한 온라인 게임의 이용자 계정을 동시다발적으로 수집하였고 동일한 변수명 감시를 꾸준히 이용했다. 장기간 다양한 변종이 제작되었고, 기능 또한 여러차례 변경되었다. 악성파일은 인터넷 익스플로러의 IEFrame 과 Class 값을 체크하여 공격에 활용하였으며, 대부분 중국어 리소스를 포함하고 있다. 이 때문인지 많은 언론사들이 일명 "중국발 해킹"이라는 표현을 사용하기도 했었다.


초기의 온라인 게임계정 탈취용 악성파일은 매우 심플하게 제작되어 있었으며, 대체적으로 코드 스타일이 단순한 형태로 구성되어 있었다. 이후 웹 취약점 유포기법과 결합되면서 2005년~2010년간 급증하였다. 이 기간은 온라인 게임 계정용 악성파일의 폭발적인 증가시기였다.

대체로 온라인 게임의 웹 사이트를 감시하여 계정을 훔쳐내거나 키로깅을 후킹하는 정도로 기술적인 측면에선 그렇게 높지 않았고, 양적으로 증가하는 모습을 보였으며, 2010년 전후로 기술적인 변화가 감지된다.


ⓒ 2012년 온라인 게임 계정 탈취형 악성파일의 변화

약 6년이 지난 2012년 5월 18일에 제작된 온라인 게임 계정 악성파일을 비교 확인해 보자. 이번 악성파일도 다양한 키로깅 기능방식 중에 2004년 전후로 이용된 자동 로그인 인자체크 기능을 그대로 사용한다. 당시 온라인 게임 계정용 악성파일은 매우 심플하게 구성되어 있었기 때문에 다양한 변종이 존재했고, 악성파일 자동화 생성도구도 많이 개발됐다.  


악성파일은 "winurl.dat"  파일을 이용해서 감염 상태 여부 및 정보전달 서버를 체크하는데 활용하는데, 추후 파밍용 악성파일과 관리자 계정 수집용 악성파일에도 동일하게 사용된다. 이후 다수의 공통적인 악성파일에서 "version.dat" 데이터를 활용해 변종 체크용으로 활용한다.



2012년도에 발견된 온라인 게임 계정 탈취형 악성파일은 "image.jpg" 이름의 파일명을 이용했고, "earthworm2" 와 "turtle2" 라는 변수명으로 변경되었지만 동일한 형태를 계속 유지하고 있다는 것을 알 수 있다. 이 악성파일들은 온라인 게임 환경이 급성장하고 있었던 시기에 계속 새로운 악성파일을 제작해서 유포하였고, 유사성이 99.9% 이상 일치하는 것을 증명하고 있다.


ⓓ 온라인 게임계정 탈취에서 인터넷 뱅킹용 악성파일로 진화

일부 온라인 게임이 청소년들에게 유해할 수 있다는 사회적인 분위기와 게임 셧다운제(심야기간 청소년 게임 이용 제한) 등의 결정으로 인해서 온라인 게임환경이 달라진다. 더불어 스마트 기기의 급부상으로 온라인 게임 시장이 갈수록 위축되었고, 모바일 게임시장이 성장하고 있다. 거기에 인터넷 뱅킹과 모바일 스마트 뱅킹 등의 이용자가 많아지면서 기존 온라인 게임 계정용 악성파일들에도 변화가 일어나기 시작한다. 기존에 온라인 게임계정을 집중 탈취하던 사이버 범죄자들도 수익모델을 변경하기 시작한 것이다.

2012년 8월 경 중국에서 만들어진 악성파일은 SFX RAR 형식으로 압축시켜 내부에 파밍 IP 주소를 가변적으로 포함시켜 변종을 꾸준히 유포한 사례이고, 현재까지도 계속 이용되고 있는 기법이다. 내부 전자금융사기용 악성파일이 프로젝트로 구분되어 제작되고 있었다는 것이 증명이 된다. 해당 악성파일 코드 내부에는 중국어로 기록된 프로그램 데이터베이스(PDB) 코드가 존재한다.


2005년도 제작된 온라인게임 계정 악성파일은 DLL 이름의 리소스명을 이용했다. 당시 온라인 게임계정 탈취용 악성파일들은 대부분 기술적으로 초기시절이라 상대적으로 간단한 형식이었다.

2010년 전후로 제작된 악성파일은 공통적으로 동일한 리소스(MYDLL) 함수를 사용했는데, 이 악성파일들은 다음과 같이 변화했다.

온라인 게임계정 탈취용 => 온라인 게임계정 탈취용 + 피싱/파밍용 => 피싱/파밍용 => 웹사이트 관리자 계정 탈취용 => 비트코인/프로토쉐어 계정 탈취용



2013년 전후로 온라인 게임 계정 탈취 기능에 전자금융사기용(피싱/파밍) 기능이 본격적으로 탑재되었고, 갈수록 진화를 거듭하게 된다. 실제 초기의 인터넷 뱅킹 악성파일은 기술적 수준이 매우 낮았지만, 2014년 현재는 메모리 해킹기법 등 매우 고도화된 상태이다.

2013년 1월 경에 제작된 인터넷 뱅킹용 악성파일 시리즈(KRBanker) 중 초기모델 형태인 "kbs.exe", "LoginMgr.dll" 형태를 살펴보자. 이 형태는 악성파일을 다운로드하여 설치하는 "RunIeHelpG.exe" 파일과 공인인증서를 업로드하는 "ftp.exe", 금융정보 탈취 기능을 수행하는 "kbs.exe", "LoginMgr.dll" 등으로 기능이 분담화된 구조이다. 더불어 악성파일에 대한 이용방법이 중국어로 포함되어 있어, 아웃소싱 개념으로 유료 피싱(파밍) 사업이 이뤄지던 시절이기도 하다.


인터넷 뱅킹용 악성파일 제작자는 초기부터 최근까지도 "kbs.exe" 파일명을 유포에 자주 활용하고 있다. 여기서 의미하는 kbs 는 특정 방송국을 의미하는 것이 아니라 KBStar 단어의 줄임말로 쓰이고 있어 오해하지 말아야 한다.


코드 내부에는 중국어로 기록된 프로그램 데이터베이스(PDB) 코드가 아래 화면과 같이 존재하는데, 여기서 "공사공작"은 회사에서 제작한다는 의미를 내포하고 있다. 악성파일 개발자가 "회사"라는 표현을 쓰고 있다는 점에 주목된다.


2013년 전후로 존재하지 않는 다수의 이미지파일로 접근을 시도하는 악성파일들이 보고되었는데, 이 때문에 일부에서는 DDoS 기능의 악성파일로 오인한 보도자료를 배포하기도 했었다. 물론 감염 컴퓨터가 많을 수록 대상 웹 사이트는 불필요한 트래픽이 발생할 수도 있지만 시차를 두고 로테이션이 진행되기 때문에 실제 DDoS 형태로 판단하긴 부적절해 보인다.

유사한 악성파일들이 접근했던 도메인들을 정리하면 다음과 같고, srsr.co.kr 도메인이 자주 이용되었던 정황도 포착할 수 있다. 악성파일은 해당 사이트의 이미지 파일 경로로 순차적으로 접근을 하여 다운로드를 시도한다. 공격자는 여러 도메인 중에 특정 이미지 파일에 실제 변종 악성파일을 잠복시켜 두었다가 은밀하게 새로운 파일을 전파시키는데 악용하고 있는 것이다.

http://m.ahnlab.com/001.jpg
http://m.ahnlab.com/0048253/001.jpg
http://user.nexon.com/001.jpg
http://www.btdot.com/001.jpg 
http://www.cbs.co.kr/001.jpg
http://www.daum.net/001.jpg
http://www.dombyshop.co.kr/bbs2/data/001.jpg
http://www.dompage.co.kr/bbs2/data/001.jpg
http://www.hangame.com/001.jpg
http://www.joinsmsn.com/001.jpg
http://www.msn.com/001.jpg
http://www.nate.com/001.jpg
http://www.netmarble.net/001.jpg
http://www.nexon.com/001.jpg
http://www.srsr.co.kr/bbs2/data/001.jpg
http://www.tistory.com/start/001.jpg
http://www.v3lite.com/001.jpg

http://boot.ncook.net/bbs/data/boot1.gif
http://www.btdot.com/bbs/data/boot1.gif
http://www.funzone.co.kr/bbs/data/boot1.gif
http://www.gbutterfly.com/bbs/data/boot1.gif
http://www.srsr.co.kr/bbs2/data/boot1.gif

http://funzone.co.kr/bbs/data/panmenu.jpg
http://snsdate.gndot.com/panmenu.jpg
http://www.nate.com/panmenu.jpg
http://www.scentkorea.com/bbs2/panmenu.jpg
http://www.srsr.co.kr/bbs2/data/panmenu.jpg
http://www.v3lite.com/panmenu.jpg 

http://www.srsr.co.kr/bbs2/data/column/rat.gif
http://www.srhan.co.kr/bbs/data/free/rat.gif
http://www.pluspoint.jp/member/img/rat.gif
http://snsdate.gndot.com/rat.gif


최근에는 일본 사이트들을 대상으로 한 공격도 다수 목격되고 있다.

http://snsdate.gndot.com/button.jpg
http://user.nexon.com/button.jpg
http://www.dompage.co.kr/board/data/button.jpg
http://www.gizmodo.jp/button.jpg
http://www.hangame.com/button.jpg
http://www.joinsmsn.com/button.jpg
http://www.msn.com/button.jpg
http://www.myjeje.net/button.jpg
http://www.nate.com/button.jpg
http://www.netmarble.net/button.jpg
http://www.nexon.com/button.jpg
http://www.plaync.jp/button.jpg
http://www.pluspoint.jp/member/img/button.jpg
http://www.srhan.co.kr/bbs/data/free/button.jpg
http://www.srsr.co.kr/bbs2/data/prize/button.jpg
http://www.tistory.com/start/button.jpg
http://www.yahoo.co.jp/button.jpg

http://update.ncook.net/ja523.jpg
http://www.nanki-pg.co.jp/bbs/data/update/ja523.jpg
http://www.pluspoint.jp/member/img/ja523.jpg
http://www.myjeje.net/ja523.jpg
http://snsdate.gndot.com/ja523.jpg
http://uravidata.com/images/ja523.jpg
http://www.yahoo.co.jp/ja523.jpg
http://www.nate.com/ja523.jpg
http://www.srhan.co.kr/bbs/data/free/ja523.jpg
http://www.yokoking.jp/ja523.jpg
http://www.naver.jp/ja523.jpg
http://www.msn.com/ja523.jpg
http://www.hangame.com/ja523.jpg
http://www.gizmodo.jp/ja523.jpg
http://www.joinsmsn.com/ja523.jpg
http://www.plaync.jp/ja523.jpg
http://www.tistory.com/start/ja523.jpg
http://www.nexon.com/ja523.jpg
http://www.netmarble.net/ja523.jpg

ⓔ 특명? 국내 웹 사이트 관리자 계정을 훔쳐라!

2013년 7월 전후 국내 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 계정만을 집중적으로 탈취 시도하는 악성파일이 발견됐다. 해당 악성파일은 마치 디지털 카메라의 사진 이미지처럼 파일명(DSC_UP0399.JPG)을 위장하고 있으며, 국내 시민모임 관련 사이트와 언론사 사이트 등 모두 합쳐 2곳을 통해서 전파된 것이 공식 확인되었다. 확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.


더불어 악성파일들은 기본적으로 온라인 게임 계정 탈취 기능을 탑재하고 있고, 다수의 이미지파일 링크로 접근하는 [잠복기법]을 기존 악성파일과 동일하게 사용한다.



관리자 계정 수집용 악성파일은 기존 온라인 게임 계정 악성파일과 동일하게 "winurl.dat" 명령을 동일하게 사용하며, 인터넷 뱅킹용 악성파일이 꾸준히 이용한 "setupball.bmp" 기능도 동일하게 사용한다. 또한, "version.dat" 파일을 이용해서 버전 체크용으로 이용하는 점도 100% 동일하다.


드라이버 경로(Drivers)에 "ahnurl.sys" 파일을 생성해서 악성 DLL 로드에 이용하고, SSDT Hooking 을 통해서 은닉기능(Rootkit)을 수행하게 되며, "ahnurl.sys" 파일도 추후 다수의 악성파일에서 꾸준히 이용된다.


예약작업 경로(Tasks)에 "sa01.dat", "sa02.dat" 등의 파일을 생성해서 악성파일 복구용으로 활용하기도 하며, "setupball.bmp" 파일은 조건문 암호화 연산(16진수 1바이트가 10진수로 짝수값이면 -2, 홀수값이면 그대로 유지)을 이용하여 Anti-Malware 제품의 탐지를 회피하고자 한다. 이 기법은 추후 "ws2help.dll" 시스템 파일을 교체하는 기법으로 오랜 기간 악용하여 사용된다.



ⓕ 비트코인 사용처 국내 1호점 등장 화제와 함께 악성파일도 기능탑재

2013년 12월 인천 시청역점 파리바게트 매장에서 가상화폐인 비트코인 결제방식을 도입했다는 소식이 알려지면서 언론과 인터넷을 통해서 다양한 반응이 일어났다. 사회적 관심이 비트코인에 몰리자 기존 온라인 게임 계정 악성파일도 국내 주요 비트코인 거래소 웹 사이트 계정을 표적삼기 시작했다.

잉카인터넷 시큐리티대응센터(ISARC)에서는 이 내용을 국내 최초로 알리면서 기존 온라인 게임 계정과 피싱/파밍형 악성파일의 연장선에 있음을 발표했다. 아래는 실제 비트코인을 노린 악성파일 내부로 기존 온라인 게임 조직이 이용하던 스타일과 일치한다.



비트코인 거래소의 계정을 노리는 악성파일은 기존 온라인 게임계정 탈취 기능을 단순 업그레이드했다. 이미 온라인 게임 사이트 계정탈취형에 관련된 기능들이 있었기 때문에 쉽게 개발이 가능했을 것으로 보인다. 또한, 해당 파일은 초창기 변수명인 "earthworm2", "turtle2" 함수를 그대로 이용하고 있다는 점에서 동일소스에서 제작된 것을 알 수 있다.



최근까지 국내에 다량 유포 중인 인터넷 뱅킹용 악성파일들은 서로 유사한 아이콘 리소스를 이용하는 경우가 많은데, 악성파일 제작자가 보유하고 있는 아이콘 리소스 자료인 것으로 보인다.


실제로 전파될 때는 "main.css" 파일명이지만 취약점에 의해서 이용자 컴퓨터에 다운로드될 때는 EXE 파일로 변경되어 실행된다. 그리고 다수의 이미지 링크로 접속을 시도하는 기능도 기존 수법과 일치하며, 최근들어 "setupviewtmp.exe" 파일명을 사용하고 있다.



해당 악성파일들은 하기의 경유지 등을 통해서 지속적으로 전파되고 있는데, 특이하게도 일정시간에만 집중적으로 배포하고 어느 시점 이후부터는 작동을 중단시키는 나름 치고 빠지기 전략을 구사하고 있다. 이 곳들은 계속 주의깊게 관찰을 하고 있는 부분인데, 중간 경유지가 노출되어 쉽게 차단되지 않도록 신경쓰고 있는 것으로 예상되며, 꾸준히 시차공격으로 악용 중인 곳들이라 URL 전체를 공개한다.

여기서 공격자는 계속 동일한 IP대역을 거점지로 이용하고 있는데, 바로 1.234.**.xxx 대역이다.  

hxxp://1.234.35.197/flv/fird.gif
hxxp://1.234.35.197/flv/main.css
hxxp://web.webschool.or.kr/flv/main.css (1.234.35.199)
hxxp://www.playnk.com/flv/main.css (1.234.35.200)

정보수집 C&C = gamefocus.co.kr (1.234.40.242)

hxxp://1.234.35.198/stat/imgage.gif

hxxp://1.234.35.42/ad/12.gif
hxxp://1.234.35.42/ad/270x320.swf
hxxp://1.234.35.42/ad/270x320.swf.5.27
hxxp://1.234.35.42/ad/523.gif
hxxp://1.234.35.42/ad/Groph.swf
hxxp://1.234.35.42/ad/ads.jpg
hxxp://1.234.35.42/ad/ads.swf
hxxp://1.234.35.42/ad/bp.gif
hxxp://1.234.35.42/ad/bp.gif?SecurityFusion
hxxp://1.234.35.42/ad/jp.gif.muma
hxxp://1.234.35.42/ad/jp.gif.old
hxxp://1.234.35.42/ad/jp.gif.pedown_UACdown
hxxp://1.234.35.42/ad/jp.gif.xima
hxxp://1.234.35.42/ad/menu.html
hxxp://1.234.35.42/ad/xp.gif.del
hxxp://1.234.35.42/inf/news1.gif
hxxp://1.234.35.42/inf/w32.gif



1.234.35.198 사이트의 경우 현재 캘커타 랭크라는 모바일 인기 앱관련 사이트로 연결되는데, 실제 이곳에서도 JAVA 취약점의 악성파일이 전파된 이력이 존재한다. 공격자는 이미 해당 IP 대역에 대한 권한을 모두 가지고 있을 것으로 추정되는 부분이다.

2014-06-27 03:58:04 hxxp://1.234.35.42/ad/12.gif
2014-06-12 11:17:36 hxxp://1.234.35.42/ad/ads.jpg
2014-06-11 00:53:36 hxxp://1.234.35.42/inf/w32.gif
2014-06-10 05:27:38 hxxp://1.234.35.42/ad/jp.gif
2014-06-05 07:49:41 hxxp://1.234.35.42/ads/ads.html
2014-06-04 16:19:00 hxxp://1.234.35.42/ad/270x320.swf
2014-06-02 01:45:36 hxxp://1.234.35.42/inf/view.html
2014-05-30 10:56:21 hxxp://1.234.35.42/inf/baseage.gif

2014-06-09 01:04:19 hxxp://1.234.35.198/stat/firw.gif
2014-05-31 01:40:40 hxxp://1.234.35.198/stat/image.gif
2014-04-19 13:58:11 hxxp://1.234.35.198/stat/baseage.gif
2014-04-01 18:23:16 hxxp://1.234.35.198/stat/imgage.gif (JAVA Exploit)

특히, 해당 조직은 최근 일본 인터넷 뱅킹용 악성파일을 배포하는데 한국 경유지를 활용하고 있기도 하는데, 다양한 테스트를 수행하고 있는 것으로 관찰된다.


금번 악성파일 유포 기법에는 지난 2008년 HP 웹보안 연구그룹의 빌리 호프만이 블랙햇(Black Hat) 보안컨퍼런스에서 발표한 것으로 그 이후 악성파일 유포에 실제 여러 번 악용되었다.


http://www.blackhat.com/presentations/bh-usa-08/Hoffman/Hoffman-BH2008-CircumventingJavaScript.ppt 
 

function dehydrate(s) {

    var r = new Array();

    for(var i=0; i < s.length; i++) {

        for(var j=6; j >=0; j—) {

            if(s.charCodeAt(i) & (Math.pow(2,j))) {

                r.push(' ');

            } else {

                r.push('\t');

            }

       }

    }

    r.push('\n');

    return r.join('');

}



hxxp://1.234.35.197/flv/swf.js 파일이 작동되도록 연결시켰다. "swf.js" 파일은 다음과 같이 내부에 다수의 스페이스(1)와 탭(0)을 포함시켜 난독화시켰는데, 이것을 각각 16진수로 표기하면 다음과 같게 된다.

Tab = 0x20
Space = 0x09

function Google2Analytics(s) {
    var r = new Array();
    var curr = 0;
    while (s.charAt(curr) != '\n') {
        var tmp = 0;
        for (var i = 6; i >= 0; i--) {
            if (s.charAt(curr) == ' ') {
                tmp = tmp | (Math.pow(2, i));
            }
            curr++;
        }
        r.push(String.fromCharCode(tmp));
        document.write( < "xmp>" + tmp + "<xmp>");
    }
    return r.join('');
}
Function(Google2Analytics("
~생략~
\n"))();



해당 스크립트에서 먼저 스크립트 선언을 해주고, String.fromCharCode(tmp) 함수 앞단에 "document.write()" 선언을 하면 아래와 같이 코드를 변환시킬 수 있고, 그 다음에 Unescape 과정을 거치면 컨버팅된 자바스크립트 코드를 볼 수 있으며, 내부에 포함된 플래쉬 취약점(dot.swf) 파일이 작동되는 구조를 볼 수 있다.

 
해당 악성파일 공격자는 2014년 06월 초 일본 버팔로 사이트를 해킹하여 배포 중인 정상모듈을 몰래 변조하여 악성파일 배포에 이용하였다. 변조된 파일을 다운로드 받아 실행한 이용자는 일본 금융정보 보안에 노출될 위험이 있고, 기존 국내에서 배포된 바 있는 악성파일들 처럼 특정 이미지 경로로 순차접근하여 새로운 변종의 설치를 대기하게 된다.

http://buffalo.jp/support_s/20140602.html

http://www.symantec.com/connect/blogs/recent-exploit-adobe-flash-vulnerability-targeting-users-japan-financial-information

http://snsdate.gndot.com/ja525.jpg
http://user.nexon.com/ja525.jpg
http://www.gizmodo.jp/ja525.jpg
http://www.hangame.com/ja525.jpg
http://www.joins.com/ja525.jpg
http://www.joinsmsn.com/ja525.jpg
http://www.msn.com/ja525.jpg
http://www.myjeje.net/ja525.jpg
http://www.nate.com/ja525.jpg
http://www.netmarble.net/ja525.jpg
http://www.nexon.com/ja525.jpg
http://www.plaync.jp/ja525.jpg
http://www.pluspoint.jp/member/img/ja525.jpg
http://www.srhan.co.kr/bbs/data/free/ja525.jpg
http://www.tistory.com/start/ja525.jpg
http://www.yahoo.co.jp/ja525.jpg

해당 악성파일은 이것도 동일한 중국조직이 진행한 공격기법으로 퍼팔로 프로그램 다수를 RAR SFX로 조작해서 내부에 setup.dll 이라는 악성을 포함시켰다. 조작된 프로그램은 무선LAN 제품인 에어 네이게이터 종류와 외장하드제품, NAS 제품 등 다수이다.

airnavi2_160.exe
airnavilite-1330.exe
airnavi-1272.exe
airnavi-1040.exe
airnavi-1030.exe
kokiinst-160.exe
drivenavi_cbu2_100.exe
ls_series-168.exe
hp6v131.exe
bsbt4d09bk_21630.exe
3g_cnctmgr_setup-101.exe
abr123a.exe
adt141tr.exe 등



[참고자료]

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!

[주의]KRBanker 변종 시티은행 피싱 목록 추가!

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫

[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일

[주의]금융 보안프로그램으로 둔갑한 악성파일 출현

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!

[주의]KRBanker 변종 시티은행 피싱 목록 추가!

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포

[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker)

[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장
http://erteam.nprotect.com/438 

댓글

댓글쓰기

엔진 업데이트 관련된 글

관련글 더보기