일명 ‘블랙문(Blackmoon)’이라는 이름으로 불리는 ‘KRBanker’는 파밍(pharming) 기술을 사용한다.
파밍이란, 금융 사용자의 계정정보 탈취를 위해 MiTB(Man-in-the-Browser) 공격 수법을 사용하는 온라인 뱅킹 트로이목마 Dridex 및 Vawtrak 등과 달리, 사용자가 정상적인 금융 사이트에 접속하더라도 해당 사이트가 감염된 경우, 원조 사이트와 똑같이 위조된 웹사이트로 트래픽을 리다이렉팅 시키는 기술을 의미한다.
KRBanker는 ‘KaiXin’이라고 불리는 익스플로잇 킷(EK)을 통해 설치되며, ‘NEWSPOT’이라고 불리는 악성 애드웨어를 통해 유포된다. ‘NEWSPOT’은 원래 온라인 쇼핑 사이트에서 매출 증진을 위해 사용해 온 일반적인 애드웨어였지만, 지난 2015년 11월부터는 멀웨어를 유포하는데 악용되고 있는 것으로 분석된다.
한편 최근 해외 보안전문가들은 블랙문(Blackmoon) 탐지를 회피하기 위해 블랙문 다운로더 프레임워크라는 이름의 3단계 다운로드 프로그램을 사용하고 있다고 전했다.
블랙문은 애드웨어 및 익스플로잇 킷 등의 다양한 방법으로 전달되었다. 이 공격 캠페인은 현재 활동하고 있지 않지는 않지만 각별히 주의해야 한다.
특히 Blackmoon/KRBanker 공격 리스트에는 국내 제1금융권, 카드사, 포털사, 인터넷 쇼핑몰, 오픈마켓 등 주요 기업들이 리스트에 올라와 있다. 사용자들의 주의가 요구된다.
[외신. 2017. 5. 4. SANS Korea / www.itlkorea.kr]
★정보보안 대표 미디어 데일리시큐!★