잉카인터넷 시큐리티대응센터 블로그

1. 불청객 애드웨어와 KRBanker, 내 안에 너 있다. 잉카인터넷 대응팀은 최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램(애드웨어)을 통해서 은밀하게 전파되는 정황을 포착하였고, 그 실체를 처음으로 공개하고자 한다. 그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹 사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있어, 웹 관제 감시센서 등을 통해서 조기에 탐지하여 차단하는 효과를 발휘하고 있다. 그러나 이번과 같이 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을..

1. 공인인증서 유출로 인한 피해 주의 잉카인터넷 대응팀은 2013년 02월 01일 해외의 특정 FTP 서버로 국내 이용자들의 공인인증서(NPKI)파일이 다량으로 유출된 정황을 포착하였다. 해당 악성파일(KRBanker)은 국내 IP주소로 할당되어 있는 곳에서 유포되었는데, 도메인은 2013년 1월 21일 중국인으로 추정되는 명의로 생성된 곳이다. 또한, 악성파일은 2013년 01월 25일 잉카인터넷 대응팀을 통해서 공개된 바 있는KRBanker 변종형태로 실제 공인인증서 창의 클래스명(QWidget)을 감시하고 있다가 공인인증서가 활성화되면 조작된 가짜 입력화면을 교묘히 겹쳐서 입력되는 비밀번호를 탈취하게 된다. 기존의 정상적인 전자서명 화면을 이용하고 있다는 점에서 각별한 주의가 필요하다. 특히, 전..

1. 공인인증서 암호를 직접 겨냥한 KRBanker 변종 등장국내 인터넷 뱅킹용 이용자들을 노린 악성파일(KRBanker) 변종이 거의 매일 새롭게 발견되고 있는 가운데, 최근 기존과 다른 형태의 악성파일 유형이 발견되었다. 지금까지 발견된 다양한 형태 중 대다수는 호스트파일(hosts)의 내용을 변경하여 정상적인 금융사이트 주소로 접속을 하더라도 피싱사이트로 연결되도록 조작하는 방식이 주로 이용되고 있다. 그외에 호스트파일(hosts)을 변경하지 않고 악성파일이 사용자의 인터넷 접속 사이트를 모니터링하다가 특정 금융사이트 주소에 접근시 피싱사이트로 웹 페이지를 교묘하게 바꿔치기 하는 수법 등이 존재한다. 이러한 방식은 모두 공통적으로 가짜로 만들어진 공인인증서 전자서명 로그인 화면을 보여주어 사용자가 ..