2020-08-15 17:00 (토)
블랙문 뱅킹 트로이목마, 새로운 프레임워크 사용…국내 사이트 공격타깃 리스트
상태바
블랙문 뱅킹 트로이목마, 새로운 프레임워크 사용…국내 사이트 공격타깃 리스트
  • 길민권 기자
  • 승인 2017.05.07 16:44
이 기사를 공유합니다

블랙문 뱅킹 트로이목마가 국내 은행 고객을 대상으로 공격에 사용되고 있어...주의

▲ 블랙문 공격 타깃 국내 사이트 리스트.
▲ 블랙문 공격 타깃 국내 사이트 리스트.
지난해 국내 온라인 뱅킹 사용자들의 금융정보탈취를 위한 악성파일 ‘KRBanker’ 활동이 급증한 바 있다. 당시 팔로알토 네트웍스는 ‘KRBanker’를 지속적으로 추적해 온 결과, 2016년 초반부터 감염 대상이 꾸준히 증가해, 지난해 상반기 동안 2,000여개 이상의 공격 샘플과 200여개 이상의 파밍 서버 주소가 존재하는 것을 확인했다고 보고한 바 있다.

일명 ‘블랙문(Blackmoon)’이라는 이름으로 불리는 ‘KRBanker’는 파밍(pharming) 기술을 사용한다.

파밍이란, 금융 사용자의 계정정보 탈취를 위해 MiTB(Man-in-the-Browser) 공격 수법을 사용하는 온라인 뱅킹 트로이목마 Dridex 및 Vawtrak 등과 달리, 사용자가 정상적인 금융 사이트에 접속하더라도 해당 사이트가 감염된 경우, 원조 사이트와 똑같이 위조된 웹사이트로 트래픽을 리다이렉팅 시키는 기술을 의미한다.

KRBanker는 ‘KaiXin’이라고 불리는 익스플로잇 킷(EK)을 통해 설치되며, ‘NEWSPOT’이라고 불리는 악성 애드웨어를 통해 유포된다. ‘NEWSPOT’은 원래 온라인 쇼핑 사이트에서 매출 증진을 위해 사용해 온 일반적인 애드웨어였지만, 지난 2015년 11월부터는 멀웨어를 유포하는데 악용되고 있는 것으로 분석된다.

한편 최근 해외 보안전문가들은 블랙문(Blackmoon) 탐지를 회피하기 위해 블랙문 다운로더 프레임워크라는 이름의 3단계 다운로드 프로그램을 사용하고 있다고 전했다.

블랙문은 애드웨어 및 익스플로잇 킷 등의 다양한 방법으로 전달되었다. 이 공격 캠페인은 현재 활동하고 있지 않지는 않지만 각별히 주의해야 한다.

특히 Blackmoon/KRBanker 공격 리스트에는 국내 제1금융권, 카드사, 포털사, 인터넷 쇼핑몰, 오픈마켓 등 주요 기업들이 리스트에 올라와 있다. 사용자들의 주의가 요구된다.

[외신. 2017. 5. 4. SANS Korea / www.itlkorea.kr]

★정보보안 대표 미디어 데일리시큐!★