| 정상 시스템 파일을 이용한 ‘KRBanker’ 주의! | 2013.08.09 |
개인 금융정보 탈취해서 불법으로 예금 인출 노려 과도한 금융정보 요구 시 피싱사이트로 의심해야 [보안뉴스 김태형] 국내 시중은행의 인터넷 뱅킹 이용자들을 겨냥한 악성파일 중에서 기존과 다르게 작동하는 유형이 발견되어 이용자들의 주의가 필요하다.
잉카인터넷 측에 따르면 “최근 며칠 사이에 변종이 계속 증가하고 있는 추세인데 이 악성파일이 작동되면 루트 드라이브에 임의의 폴더를 생성하고 내부에 정상적인 ‘csrss.exe’ 파일과 임의의 파일명으로 악성 dll 파일을 생성한다”고 설명했다. 이 악성파일의 특징적인 점은 기존에 윈도우 운영체제에서 사용하던 ‘rundll32.exe’ 파일을 ‘csrss.exe’ 파일명으로 생성한다는 점인데, 이것은 악성파일 자신을 최대한 은닉하기 위한 수법으로 활용했다는 것. 또한, ‘start.lnk’ 파일을 생성해서 재부팅 후에도 ‘csrss.exe’ 파일을 실행하고 악성 dll 파일을 로드할 수 있도록 한 점도 특이하다고 잉카인터넷 측은 밝혔다. 이와 더불어 외부 사이트에 접속해서 ‘plus.php’ 파일을 받은 후, ‘data.mdb’ 파일로 생성하는데 이 파일에는 파밍사이트로 사용할 호스트 정보가 담겨 있고, ‘hosts.ics’ 파일을 만드는데 이용된 후 삭제된다. 또한, 정상적인 ‘hosts’ 파일을 삭제하고 이로 인해 감염된 컴퓨터에서 인터넷 뱅킹 사이트에 접속 시 가짜 사이트로 연결되도록 만들어진다. 잉카인터넷 문종현 팀장은 “이 악성파일은 국내 다수의 웹 사이트를 변조해 ‘Drive By Download’ 기법을 통해서 전파된다. 악성파일에 노출이 되면 임의의 숫자와 알파벳으로 조합된 특정 폴더를 생성하고 내부에 파일명이 랜덤한 dll 악성파일과 정상적인 ‘rundll32.exe’ 파일에서 이름만 변경한 ‘csrss.exe’ 파일을 생성하고 실행한다”고 설명했다. 2013년 8월 9일 현재 바이러스 토탈 진단 현황에서도 변종이 계속 발견되고 있는 상태이다. 이 악성파일 중 ‘start.lnk’ 바로가기 파일은 레지스트리에 자신을 등록해서 재부팅 시 자동으로 실행되도록 조작되어 있다. 그리고 ‘csrss.exe’ 파일은 악성 ‘Bnhd.dll’ 파일을 실행하고 특정 호스트로 접속하여 plus.php 파일을 다운로드하며, 내부적으로 마치 ZIP 포맷처럼 보이도록 파일헤더를 조작하고 있다. 여기서 ‘전자금융사기 예방시스템 신청’ 부분을 클릭하게 되면 과도하게 금융정보를 입력하도록 요구하는 화면을 보여주고 그 이후로도 보안카드 등 정상적인 금융사이트에서는 요구하지 않는 보안정보를 입력하도록 현혹된다.
이처럼 내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판단하기 어려울 정도로 최근의 피싱사이트들은 매우 정교하고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있다. 잉카인터넷 측은 “여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점은 사용자들의 개인 금융정보를 탈취해서 예금의 불법 인출”이라면서 “따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협에 능동적으로 대처할 수 있다”고 강조했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
잉카인터넷 대응팀은 인터넷 뱅킹관련 악성파일을 집중 모니터링하던 중 기존과 다르게 워드패드 파일의 아이콘처럼 자신을 위장하고 있고 중국어로 제작되어 있는 유형의 악성 파일을 발견했다고 9일 밝혔다.