[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행

1. 개요

잉카인터넷 대응팀은 2012년 08월 31일 국내 인터넷뱅킹 사용자들을 노린 또 다른 악성파일이 국내 다수의 웹 사이트가 해킹되어 중개지로 악용된 채 유포 중인 정황을 포착하였다. 이번에 새롭게 유포 중인 악성파일은 중국에서 개발되어 최근 다양한 악성파일 유포에 널리 사용되고 있는 "JSXX 0.44 VIP" 자바스크립트 난독화 Exploit 코드와 접목을 시작했으며, JAVA 취약점과 Flash 취약점 등을 꾸준히 이용하고 있는 상태이다. 특히, 이번에는 인터넷뱅킹용 악성파일을 배포하기 이전 시점에 사전침투용 악성파일을 지능적으로 먼저 투입시켜 국내에 사용자가 가장 많은 알약(ALYac)과 V3Lite 무료 백신제품들의 정상적인 업데이트 방해 등을 우선시도한다. 이는 본격적인 인터넷뱅킹용 악성파일을 유포하기 이전에 악성파일 자신의 보호와 사전 정보수집, 사이버범죄 활동에 필요한 교두보 확보를 위한 치밀한 계획으로 볼 수 있다.

이처럼 국내 전자금융거래에 대한 보안위협이 심각한 상태로 부상하고 있다는 것을 유념해야 한다. 그리고 국내 인터넷뱅킹 사용자들은 보안의 중요성을 인식하여 전자금융거래용 악성파일에 대한 대비가 철저하게 요구된다. 잉카인터넷 대응팀은 해당 내용을 정부 유관기관에 유포지 및 경유지 목록 등을 제공하여 국내에서의 접속차단 협조를 요청한 상태이다.

---

[필수 보안 업데이트 권고]
※ 현재 악성파일 유포에 남용되는 보안취약점은 대표적으로 JAVA 와 Flash Player 이므로, 아래의 사이트에서 최신버전으로 업데이트를 하면 충분한 사전예방 효과가 있다. 물론 새로운 (0-Day) 취약점이 지속적으로 보고되고 있으므로, 정기적으로 최신버전을 설치하는 습관이 중요하다.

A. JAVA 최신 업데이트
☞ http://www.java.com/ko/

B. Flash Player 최신 업데이트
☞ http://get.adobe.com/kr/flashplayer/

[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
☞ http://erteam.nprotect.com/326

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
☞ http://erteam.nprotect.com/324

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
☞ http://erteam.nprotect.com/294

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
☞ http://erteam.nprotect.com/160

2. 악성파일 대응 및 전파 수법

잉카인터넷 대응팀은 국내 인터넷뱅킹용 악성파일(KRBanker 류) 전파에 대한 집중 모니터링을 유지하고 있으며, 현재 해당 사이버 범죄자들의 활동반경을 지속적으로 추적하고 있다. 이를 통해서 새로운 악성파일 유포를 시작하는 즉시 긴급대응을 상시체계로 진행하고 있으며, 각 금융고객사에 제공되는 nProtect 금융보안 솔루션에 즉각적인 업데이트를 제공하고 있다.

아래 사례는 신문기사를 제공하는 국내 특정 인터넷 언론사이트이며 현재 이 시간 해킹되어 방치된 상태로, 인터넷뱅킹용 악성파일이 전파 중인 상황이다. 물론 이외에도 교회, 학교, 기업, 개인커뮤니티 등 다수의 사이트가 동시다발적으로 새롭게 해킹되고 있는 심각한 상황임을 감안하면 앞으로도 꾸준한 보안위협이 진행될 것으로 예상된다.

악성파일은 특정 보안취약점이 존재하는 불특정 다수를 대상으로 전파를 시도하며, 국내의 특정 웹 사이트들이 다수 불법해킹되어 아이프레임(iframe src) 코드가 삽입되고 있는 상태이다.

해당 사이트의 중간부분에 불법적으로 아이프레임 코드가 삽입되어, 또 다른 악성파일 중개지로 연결되는 것을 확인해 볼 수 있다.

강제로 연결되는 사이트는 호스트 위치가 중국 베이징이며, 아래와 같이 JSXX 0.44 VIP 라는 일종의 자바스크립트 암호화(Encrypt) 도구를 이용해서 난독화되어 있다. 보통 악성파일 유포자들은 보안제품들의 유사변종 탐지우회와 분석가들의 신속한 분석방해 등을 목적으로 악성 자바스크립트 코드를 이처럼 암호화하여 유포하게 된다.

해당 스크립트는 또 다시 플래시와 자바 취약점을 연결하여 공격을 진행하며, 1차 침투목적의 서버파일인 "shuli.exe" 을 사용자 몰래 은밀하게 설치시킨다. 악성파일은 마이크로 소프트사의 Console IME(conime.exe) 파일처럼 아이콘과 등록 정보 등을 위장하고 있다. 

악성파일은 내부적으로 중국어로 제작되어 있으며, 국내에서 사용자가 많은 대표 무료백신인 이스트소프트의 알약(ALYac)과 안랩의 V3Lite 제품의 업데이트 방지 기능 등을 수행하여, 이후 유포되는 인터넷뱅킹용의 악성파일 대응을 무력화하는데 초점을 두고 있어, 차후 유사변종 유입에 대한 철저한 대비가 필요할 것으로 예상된다.

악성파일은 1차 악성파일의 기능을 수행한 후 조건에 따라 본격적인 인터넷뱅킹용 악성파일을 설치하게 된다. 또한, 공격자는 실시간으로 악성파일 설치수(감염자수)를 조회하면서 지능적인 범죄활동을 수행한다. 

아래 화면은 잉카인터넷 대응팀이 악성파일 제작자들의 서버를 추적하여 역으로 파악한 내용이고, 2012년 08월 31일 오전 11시 20분경 기준 189명이 악성파일에 노출되었다는 것을 확인해 볼 수 있다.

시간에 비례하여 감염자는 꾸준하게 증가하고 있으며, 11시 30분 경 600 여명이 유포 사이트로 접근되었고, 208명으로 감염자가 증가하였다. 공격자는 이것을 통해서 실시간으로 악성파일이 얼마나 효과적으로 전파 중인지 파악할 수 있고, 차단이 될 경우 즉시 새로운 서버를 가동할 수 있는 모니터링 환경을 구축하고 있다.

2012년 08월 31일 오후 12시 40분 현재 약 800 여명이 악성파일 유포지로 접근한 상태이다.

또한, 악성파일도 시간차에 따라 계속해서 변종이 제작 유포 중에 있으므로, 운영체제 최신 보안업데이트는 물론 JAVA, Flash Player 버전을 최신으로 업데이트하는 것이 필수이다. 더불어 nProtect Anti-Virus 제품군을 이용해서 악성파일을 검사/치료할 수 있다.

인터넷뱅킹용 악성파일이 추가로 설치되면 임시폴더(Temp) 경로에 다음과 같이 "ncsoft.exe", "adobe_update.exe", "NEWCONFIG.INI" 파일 등이 설치되고, 인터넷뱅킹용 공인인증서(NPKI) 탈취 등의 기능을 수행한다.
 

다음으로 호스트(hosts) 파일을 변경하여 정상적인 인터넷뱅킹 사이트로 접속시 가짜 사이트로 접속을 바꿔치기 한다.

66.85.175.199 (피싱 사이트 IP주소 - 계속 변경 중)
www.kbstar.com (국민은행)
banking.nonghyup.com (농협)
banking.shinhan.com (신한은행)
www.wooribank.com (우리은행)
www.ibk.co.kr (기업은행)
mybank.ibk.co.kr (기업은행)
www.epostbank.go.kr (우체국)
ibs.kfcc.co.kr (새마을 금고)
www.hanabank.com (하나은행)
bank.keb.co.kr (외환은행)

 

가짜 금융사이트에서는 아래와 같이 보안강화(승급)서비스 명목으로 과도한 금융정보 입력을 요구하고, 탈취를 시도하게 된다. 따라서 보안승급이나 보안강화 서비스라는 것을 보게 될 경우 절대로 금융정보를 입력하지 않도록 하는 것이 중요하다.

3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/