2024-03-29 03:15 (금)
한국 맞춤형 파밍 악성코드 'KRBanker', 국내 유명 사이트서 유포 중...주의
상태바
한국 맞춤형 파밍 악성코드 'KRBanker', 국내 유명 사이트서 유포 중...주의
  • 길민권 기자
  • 승인 2018.10.21 23:17
이 기사를 공유합니다

▲ 국내 유명 사이버 교육 사이트에 삽입 된 악성 스크립트 코드 화면
▲ 국내 유명 사이버 교육 사이트에 삽입 된 악성 스크립트 코드 화면
국내 유명 사이버 학습사이트에서 CK VIP Exploit을 통한 KRBanker 악성코드 유포가 확인되었다. 이용자들의 각별한 주의가 요구된다.

악성코드가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입해 악성 URL로 연결 시키고 있다.

취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 드라이브 바이 다운로드(Drive By Download) 기법에 의해 악성코드가 다운로드 및 실행 될 수 있다.

이스트시큐리티 악성코드 위협 대응 솔루션에 분석 된 데이터에 따르면, 10월 19일 9시에 해당 사이트에서 최초 악성코드가 발견 되었으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 사이트로 확인이 되었다고 밝혔다.

또 이 사이트에는 CVE-2018-8174, CVE-2016-0189 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함해 총 7가지 취약점 공격으로 이루어져 있다.

취약한 사용자가 접속 할 경우 다운로드 및 실행되는 악성코드는 흔히 알려진 hosts파일 변조를 통한 파밍 방법과는 달리 로컬에 프락시 서버를 구축하여 C&C로 웹페이지를 포워딩 하는 방식을 사용하고 있다.

이번에 발견 된 것과 같이 Drive By Download 통한 KRBanker 악성코드는 2016년까지 성행했지만 2017년부터 최근까지 공격자 그룹이 모습을 감춘 악성코드다.

이스트시큐리티 측은 "해당 악성코드가 19일을 기점으로 다시 유포를 시작한다는 점에 주의를 기울여야 한다"며 "이러한 악성코드에 감염되지 않기 위해서는 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지해야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★