분석 정보/악성코드 분석 정보

[주의]KRBanker 변종 시티은행 피싱 목록 추가!

TACHYON & ISARC 2012. 12. 4. 14:37

1. 개 요


국내 주요 은행사의 인터넷뱅킹 서비스와 유사한 사이트 화면을 출력하여 계좌 정보 등을 탈취하는 악성파일이 최근 정보 탈취 방법을 수정한 변종의 출현과 함께 다시한번 이슈가 되고 있다. 이번에 발견된 해당 악성파일은 감염 시 피싱 사이트 목록에 시티은행을 추가하는 것이 기존의 다른 변종들과 큰 차이점이라 할 수 있다. 해당 악성파일은 hosts 파일을 변조하여 사용자가 특정 은행사의 인터넷 뱅킹 사이트에 접속시 이를 감지해 실제로는 악성파일 제작자가 미리 준비해 놓은 사이트로 접속을 시도 하게 된다. 

해당 사이트는 실제 은행 사이트와 매우 유사하게 제작되어 있어 일반 사용자들은 쉽게 현혹될 수 있으며, 정보 탈취를 위해 출력되는 팝업창에 각종 계좌 정보의 입력을 유도하는 등 사용자로 하여금 금전적인 피해를 유발할 수 있다.

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 정보 탈취 방법의 변화

이번에 발견된 일명 KRBanker(Korea + Banker)의 새로운 변종은 기존에 출현했던 변종들과 비교하여 아래의 사항들과 같은 변경점들이 존재한다.

※ 전체 변경 사항

- 정보 탈취를 위해 유도되는 팝업창의 변화 (사이트 접속시 바로 피싱을 위한 경고창 등 출력)
- 생성되는 파일 목록 및 내용의 변화 (wmplayer.ini : 접속 시도 IP -> 버전정보)
- 알약 모듈로 위장
- 금융 피싱 사이트 목록 추가 (시티은행)


우선, 해당 악성파일이 다운로드 되면 아래의 그림과 같이 이스트소프트 알약 또는 알툴즈 업데이터와 관련된 아이콘으로 위장되어 있음을 확인할 수 있다.



이미지와 함께 파일명, 그리고 속성까지 정상적인 알약 모듈인것 처럼 위장하고 있다. 또한 기존과 같이 델파이로 제작되어 있으나, 실행 압축 형태로 제작되지는 않았으며, 생성되거나 변조되는 파일의 목록은 아래와 같다.

※ 생성 및 변조 파일 목록

- (프로그램 폴더)\Windows Media Player\wmplayer.ini (21 바이트)
- (윈도우 시스템 폴더)\drivers\etc\hosts (1,528 바이트)


특히, 이번에 발견된 변종의 경우 새롭게 "시티은행"이 추가된 점이 주목할만 하다. 아래의 그림은 시티은행이 피싱 목록에 포함되어 있음을 확인할 수 있는 변조된 hosts 파일의 전체 리스트이다.


아래는 이스트소프트 모듈로 위장하는 추가적인 KRBanker 변종이 가지고 있는 피싱 목록이다.

 


또한, hosts 파일이 변조되면서 윈도우 미디어 플레이어 폴더에 아래의 그림과 같은 wmplayer.ini 파일을 생성하게 되는데 내부에는 이전과 같은 IP정보가 아닌 특정 버전 정보가 입력되어 있다.


◈ 감염 후 실제 은행 사이트 접속 시 피싱 화면

이번에 발견된 KRBanker의 새로운 변종은 특정 은행 인터넷뱅킹 사이트에 접속하자 마자 아래의 이미지와 같이 피싱 및 해킹 등과 같은 금융피해 예방 차원이라는 안내 팝업창과 함께 계좌 정보의 탈취를 시도하는 것이 특징이다.

[기업은행]

01


[외환은행]


01


[시티은행]


01


[우리은행]



[하나은행]


[농협]


감염 후 특정 은행 사이트 접근 시 접속되는 피싱 IP주소(110.34.231.150)는 언제든지 변경될 수 있으며, 해당 IP의 주소는 아래의 그림과 같이 현재 대만으로 확인되고 있다.


3. KRBanker 예방 조치 방법

최근 스마트폰을 비롯하여 금융관련 보안 사고가 지속적으로 보고되고 있다. 가장 최근인 금일에는 뉴스매체를 통해 계좌 정보, 공인인증서 정보 등의 대량 탈취로 인해 발생한 것으로 추정되는 소액결제를 통한 상당 금액의 금융피해 건이 보고된 바 있다.

국내 사정에 정통한 악성 파일 제작들에게 더이상 국내 대다수의 사용자들을 대상으로 악성 파일의 유포를 시도하는 것은 어려운일이 아닐 수 있다. 더불어 위와 같이 특정 은행사 인터넷뱅킹 사이트와 유사한 사이트를 제작하여 정보 탈취를 시도한다면 일반 사용자들은 별다른 의심없이 쉽게 현혹되어 자신의 계좌 정보 등을 입력하여 악성 파일 제작자에게 전송하게 될 것 이다.

애초부터 사용자들을 속여 자신들의 목적을 이루기 위해 제작되는 악성 파일들은 사용자들이 육안상으로 식별해 내기란 매우 어려우며, 취약점이 존재하는 웹 사이트 접속만으로도 쉽게 감염될 수 있다. 때문에 이러한 KRBanker의 변종들로 부터 안전한 인터넷뱅킹 등 금융관련 서비스 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/