2024-03-29 18:40 (금)
인터넷뱅킹 타깃 악성파일, 구글코드 서버 통해 유포!
상태바
인터넷뱅킹 타깃 악성파일, 구글코드 서버 통해 유포!
  • 길민권
  • 승인 2012.07.18 17:59
이 기사를 공유합니다

18일 새벽 4시경 인터넷뱅킹 정보 노리는 변종 악성파일 유포 확인
파밍 공격시도 이외 국내 주요 백신 업데이트 방해 기능도 추가
7월 18일 새벽 4시 경 국내 인터넷뱅킹 사용자들을 표적으로 제작된 악성파일 변종이 구글 코드(Google Code) 오픈 소스 프로젝트 호스팅 서버를 통해서 추가 유포 중인 것을 확인하였다. 공격자는 악성파일 등록 경유지 도메인을 보다 안전하고 평판 신뢰도를 높이기 위한 목적으로 구글 코드 서버를 사용한 것으로 추정된다.
 
잉카인터넷 대응팀 관계자는 “이 악성파일은 7월 16일 23시 경에 서버에 등록되었으며, 별도의 유포지를 통해서 지금도 계속 배포가 되고 있을 것으로 보여진다”며 “이번 변종의 경우 호스트파일 변조를 통해서 국내 금융권 사이트 접속시 파밍공격 시도를 하는 것 외에 치밀하게 잉카인터넷 nProtect Anti-Virus 제품군과 안랩의 V3 제품군의 업데이트 방해 기능도 추가를 한 상태”라며 주의를 당부했다.  
 
악성파일 제작자는 국내 보안업체들이 적극적으로 대응/차단하고 있다는 점을 인지한 상태로 보이며, 역으로 보안제품의 정상적인 서비스를 수행하지 못하도록 하는 공격형 성향을 보이고 있는 상태다. 이처럼 국내 인터넷뱅킹 사용자들의 중요 금융정보를 탈취하고 시중 은행계좌에 접근해 금융사 고객의 예금을 불법적으로 인출하기 위한 시도가 기승을 부리고 있어 이용자들의 각별한 주의가 필요한 상황이다.
 
잉카인터넷 대응팀 정보에 의하면, 이번 악성파일은 "aax.exe"라는 파일명이며, 기존과 동일하게 SFX 자동압축해제 형식의 기능을 가지고 있다. 압축파일 내부에는 "ServiceInstall.exe", "WindowsDirectx.exe" 악성파일이 포함되어 있다.
 
해당 악성파일을 사용자가 실행할 경우 시스템폴더 경로에 2가지 파일이 설치되고 실행된다. 그 다음에 "WindowsDirectx"라는 이름으로 윈도우 서비스로 등록되어 작동을 시작하며 윈도우OS 부팅 시마다 자동으로 실행되도록 만든다.
 
수십 초 간격으로 일본의 특정 C&C 호스트로 접속을 시도하며 명령제어 서버와 정상적으로 통신이 되면 CONFIU.txt라는 파일로 접속을 하고 내부에 포함된 명령어에 따라 추가적인 악성파일을 설치하게 된다.
 
현재 해당 파일 내부에는 "74.exe"라는 파일을 임시폴더 경로에 다운로드하고 실행하도록 구성되어 있고 기존에는 "CONFIG.txt"라는 파일을 사용했지만 이번에는 "CONFIU.txt"라고 파일명이 변경된 상태이다.
 
"74.exe" 파일도 SFX 자동압축해제 방식으로 압축되어 있으며, 내부에는 "CONFIG.INI", "CretClient.exe", "HDSetup.exe" 파일이 포함되어 있고, 윈도우 폴더 경로에 설치된다.
 
감염동작이 수행되면 호스트파일(hosts)파일을 변조하여 금융권 및 보안업체 등의 정상적인 접속을 가로채기한다.
 
◇호스트파일 설정 악용한 인터넷뱅킹 피싱 대응
최근 지속적으로 발견되고 있는 인터넷뱅킹 사용자 표적용 악성파일(변종)은 윈도우 운영체제의 호스트파일 설정 기능을 악용해 정상적인 인터넷뱅킹 접속 시도시 피싱사이트로 접속되도록 조작하며, "보안승급서비스" 내용으로 현혹하여 사용자의 중요 금융정보를 직접 입력하도록 만든 후 중간에서 가로채기 하는 수법을 이용하고 있다.
 
hosts 파일이란 DNS(Domain Name Service)를 이용하지 않고, 윈도우OS가 인터넷 통신을 할 때 DNS보다 hosts 파일을 먼저 참조하는 기능을 이용해서 내부에 설정된 IP주소와 도메인 호스트로 접속하도록 설정된 파일이다.
 
다만, 악성파일들이 이러한 정상적인 기능을 악용하여 보안업체 사이트로 접속을 방해하거나 조작된 허위 사이트로 접속하도록 하여 개인 정보 탈취에 사용하고 있어 문제가 되고 있다.
 
윈도우XP 운영체제의 hosts 파일은 다음과 같은 경로에 존재하며 기본적인 설정값에는 127.0.0.1 localhost 라는 내용이 포함되어 있다. 만약 직접 설정한 값이 아닌데, 인터넷 뱅킹용 도메인 주소와 특정 IP주소가 연결되어 있는 경우라면 악성파일에 감염되어 있을 가능성이 매우 높다고 할 수 있다.
 
인터넷뱅킹 사용자 표적용 악성파일에 감염되어 있는 hosts 파일의 내용은 다음과 같이 변경되며, IP주소와 도메인 주소 등은 공격자에 의해서 언제든지 변경될 수 있다.
 
악성파일에 의해서 변경된 호스트 파일은 마이크로 소프트사의 Fit it 50267 프로그램을 이용해서 문제해결을 할 수 있다. 다음 사이트에서 Fix it 단추나 링크를 클릭하고 파일 다운로드 대화 상자에서 실행을 클릭한 후 Fix it 마법사의 단계를 따르면 된다.
 
다음은 전자금융 이용자 정보보호 수칙이다.
- 금융회사에서 제공하는 보안프로그램을 반드시 설치한다.
- 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 쉽게 노출될 수 있는 매체에 기록하지 않고, 타인에게 (금융회사 직원 포함)알려주지 않는다.
- 금융계좌, 공인인증서 등의 각종 비밀번호는 서로 다르게 설정하고 주기적으로 변경한다.
- 금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기로 사용한다.
- 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극적으로 이용한다.
- 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
- PC방 등 공용장소에서는 인터넷 금융거래를 자제한다.
- 바이러스 백신 등을 이용하고, 최신 윈도우 보안패치를 적용한다.
- 의심되는 이메일이나 게시판의 글은 열어보지 말고, 첨부파일은 열람 또는 저장하기 전에 백신으로 검사해 본다.
 
잉카인터넷 대응팀 관계자는 “국민은행의 경우 정상적인 실제 웹 사이트는 https로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다”며 “이런 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 사용자 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★