국내에서 온라인 뱅킹 사용자를 타깃으로 한 악성코드가 발견된 것은 오래 전 일이지만, 최근들어 폭발적인 증가를 보여주고 있었다. 해외에서도 오래 전부터 피싱이나 파밍과 같은 온라인 사기 수법이나 인터넷 뱅킹 관련 정보 수집을 목적으로 악성코드를 이용한 공격에 의한 피해가 지속적으로 발생하고 있었다.
해외 기사에서 보고된 AlbaBotnet은 인터넷 뱅킹 정보를 탈취하기 위한 목적으로 제작된 악성코드의 좋은 예이다. 이 봇넷은 칠레 은행의 온라인뱅킹을 이용하는 사용자를 타깃으로 제작된 악성코드로 이메일 등 다양한 경로를 통해 유포된 것으로 보고 있다.
이 봇넷의 한 변형을 분석한 결과 다음과 같은 감염행위가 이루어지는 것을 확인할 수 있었다.
- system32폴더에 wincal.exe 이름으로 자신을 복사한 후 실행
- 레지스트리에 아래의 데이터를 추가하여 부팅 시 실행
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
"C:\WINDOWS\system\wincal.exe"
- hosts 파일을 변조하기 위한 정보가 있는 111.**.***.208 IP에 접속
- 서버에서 받아온 정보를 참조하여 Hosts 파일을 변조
- 웹 브라우저로 은행 사이트 접속 시 위장된 피싱 사이트로 이동
변조되는 host파일에 등록된 은행 사이트들의 목록은 아래와 같고 공격자가 타깃으로 하는 사이트들이 칠레의 금융기관인 것을 알 수 있다.
111.***.159.2* www.santander.cl 111.***.159.2* santander.cl 111.***.159.2* www.bci.cl 111.***.159.2* bci.cl |
감염된 악성코드는 hosts 파일의 변경이 이루어졌는지 주기적으로 접속을 하고 감염된 사용자가 hosts파일에 등록된 웹사이트에 접속 시 피싱 사이트로 접속하여 사용자의 금융 관련 정보를 가져오기 위한 시도를 한다.
[그림 1] 피싱 사이트 접속 정보
남미에서는 이러한 유형의 인터넷 뱅킹 관련 악성코드들을 지속적으로 유포하는 봇넷이 다수 등장하고 있는 것으로 보인다. KAV의 보고서에 의하면 PiceBOT, S.A.P.Z (Sistema de Administración de PCs Zombi - Zombie PCs Administration System) 등 비슷한 유형의 악성코드들이 지속적으로 유포되고 있고 피해 또한 증가하고 있다고 한다. 이러한 봇넷 샘플들 또한 Albabotnet 관련 악성코드와 비슷하게 hosts 파일을 변조시키는 방식으로 악성 사이트로 사용자를 유도하는 것으로 보인다.
이와 같은 남미 국가들의 인터넷 뱅킹 악성코드의 급격한 증가 상황은 국내와 유사하고 악성코드의 동작 방식 또한 유사한 면이 많다. 최근 국내에서 유행하는 악성코드들이 대부분 hosts 파일을 변조하여 사용자를 피싱사이드로 유도하는 식으로 개인 정보를 노리고 있다. 비슷한 악성코드의 변형들을 지속적으로 유포하여 다수의 사용자를 감염시키고 웹 사이트에서 hosts파일의 정보를 받아 업데이트를 해줌으로써 사용자를 계속 피해에 노출될 수 있는 환경으로 유지시킨다.
이러한 악성코드로부터 고객의 정보를 보호하고 정보 유출로 인한 피해를 예방하기 위해서는 기업들도 다양한 방식으로 보안 강화를 위한 노력을 해야 하고 PC 사용자 또한 백신프로그램 및 OTP 사용 등 개인정보를 안전한 상태로 유지하기 위한 노력을 지속해야 할 것이다.
V3 제품에서는 아래와 같이 진단이 가능하다.
Trojan/Win32.Xema
'악성코드 정보' 카테고리의 다른 글
| ‘3.20 사이버 테러’ 관련 일부 보도의 사실과 다른 부분을 바로잡고자 합니다. (0) | 2013.04.14 |
|---|---|
| 불법 다운로드한 게임(크랙) 속에 숨어있는 악성코드 (0) | 2013.04.11 |
| 카드거래 내역 사칭 악성코드 주의보 (0) | 2013.04.01 |
| ‘3.20 APT공격’ 관련 고객정보보호 후속조치 (0) | 2013.03.26 |
| 불특정 다수를 상대로한 추가 감염 주의 당부!! (0) | 2013.03.25 |
댓글