[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!

1. 개 요

최근 지속적으로 새로운 변종에 대한 출현으로 이슈가 되고 있는 KRBanker가 이번에는 애플 아이콘으로 위장한 변종이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 2012년 12월 7일은 애플의 새로운 스마트폰 아이폰5 제품의 국내 출시일이며, 해당 악성파일 제작자는 이를 이용해 사회공학적 기법을 통한 악성파일의 유포를 시도하고 있다는 것이 이번에 발견된 KRBanker 변종에서 주목 할 만한 점이라 할 수 있다.

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
☞ http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
☞ http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
☞ http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
☞ http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
☞ http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
☞ http://erteam.nprotect.com/339

2. 국내 사정이 고려된 교묘한 사회공학적 기법!

12월 7일은 애플의 새로운 스마트폰 아이폰5의 국내 출시일이다. 이번에 발견된 KRBanker의 변종은 유포 시기가 이와 겹쳐 국내 사정이 고려된 변종 제작으로 추정되고 있으며, 당분간 이러한 사회공학적 기법을 이용해 장기 지속적으로 변종이 출현할 가능성이 크다. 아래의 그림은 이번에 발견된 새로운 KRBanker 변종이 사용하고 있는 아이콘이다.

해당 변종은 기존에 유포 되었던 기타 다른 KRBanker 변종들과 악성 기능적인 면에서는 별다른 차이점이 존재하지 않고 있다. 아래의 그림은 이번 KRBanker 변종에 의해 변조되는 hosts파일에 등록된 피싱 목록이다.

 

※ 전체 피싱 목록

- 국민은행
- 농협
- 기업은행
- 새마을금고
- 우체국

이외에 피싱화면 및 기타 악성 동작 등은 기존에 출현했던 변종들과 별다른 차이점이 없으며, 피싱 목록과 매칭되는 IP주소의 위치는 아래의 그림과 같이 캐나다 벤쿠버로 확인되고 있다.

3. KRBanker 변종에 대한 예방 조치 방법

KRBanker는 국내 사정에 정통한 제작자에 의해 제작 및 유포가 이루어지는 만큼, 위와 같이 다양한 사회공학 기법을 이용하여 유포 및 감염을 유도할 수 있으며, 대부분의 1차 감염이 취약한 웹 사이트의 접근 등을 통해서 이루어 지고 있다.

게다가 해당 악성 파일은 대부분의 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/