2020-08-06 09:20 (목)
국내 인터넷 뱅킹용 악성파일 계속 진화…주의!
상태바
국내 인터넷 뱅킹용 악성파일 계속 진화…주의!
  • 길민권
  • 승인 2012.10.09 04:07
이 기사를 공유합니다

BHO 기능 이용, IE 실행되면 자동으로 악성코드 실행!
국내 인터넷 뱅킹 사용자를 겨냥한 악성파일(KRBanker)이 새로운 방식으로 꾸준히 변화를 시도하고 있다. 이번에 새롭게 발견된 악성파일은 기존처럼 호스트(hosts)파일을 사용하거나 EXE 파일이 독립적으로 사용하는 방식이 아닌 브라우저 도우미 객체(BHO:Browser Helper Object) 기능을 이용하는 형식을 사용했다.
 
잉카인터넷 대응팀은 “BHO란 인터넷 익스플로러(IE)에 별도의 기능을 지원하기 위해 사용하는 플러그인 형태의 DLL 모듈을 의미하며 인터넷 익스플로러가 실행되면 자동으로 함께 실행되기 때문에 사용자는 그 실행여부를 쉽게 파악할 수 없어 이전부터 많은 종류의 악성파일이 악용하는 기능 중에 하나였다”며 “그전까지 호스트(hosts)파일을 이용한 악성파일 형태의 존재가 많이 알려지면서 사이버 범죄자들은 좀더 은밀하게 전자금융 사기용 피싱사이트로 접속을 유도시키는 시도를 하고 있고 악성파일들도 꾸준히 진화하고 있다는 것을 알 수 있다”고 설명했다.  
 
이처럼 점차 지능화되고 있는 전자금융사기용 악성파일 예방을 위해서 일회성이 아닌 지속적인 보안대책 수립 및 사용자 보안인식 개선과 같은 다각적인 노력과 주의가 필요하다.
 
대응팀 관계자는 “악성파일은 원본파일명이 Update.EXE 이름의 중국어로 제작되어 있으며, 마이크로 소프트사의 윈도우 응용프로그램 통합 개발용 클래스 라이브러리 프로그래밍인 MFC(Microsoft Foundation Class) 기본 아이콘을 사용했다”며 “별도의 위장 아이콘을 사용하지 않았다는 점에서 초기버전으로 예상된다”고 밝혔다.
 
잉카인터넷 대응팀의 해당 악성파일에 대한 자세한 설명은 다음과 같다.
 
악성파일이 실행되면 시스템 폴더에 "UpDate.exe" 이름으로 복사본을 생성하고 Program Files 경로에 "IEHelper" 이름의 폴더를 생성해 내부에 "IeHelper.dll" 파일명의 악성파일을 생성하고 실행한다.
 
악성파일은 재부팅시 자동으로 실행되도록 레지스트리 Run 값에 "IEHelpRun" 이름으로 등록하고, BHO 모듈도 등록한다.
 
BHO 값이 등록된 이후에 인터넷 익스플로러가 실행되면 "IeHelper.dll" 악성파일이 자동으로 실행되는 것을 확인할 수 있다.
 
악성파일 제작자는 감염자 정보수집을 위해 감염 카운트와 사용자의 MAC주소, IE 버전, OS 등을 수집시도 하기도 한다.
 
대응팀 관계자는 “발견당시 악성파일은 국민은행과 우리은행을 표적으로 사용하고 있었지만 은행사이트는 언제든지 추가되거나 변경될 수 있으므로 해당 은행사 고객이 아니라고 하여 안심하거나 방심하는 것은 절대 금물”이라고 강조했다.
 

또 “악성파일에 감염된 상태에서 국민은행(www.kbstar.com)에 접속하면 처음에는 정상적인 국민은행 메인 홈페이지 화면으로 정상적으로 접속되고, 로그인시 피싱사이트(obank.kbsmstar.com)로 연결되며, 우리은행(www.wooribank.com)에 접속하면 처음부터 피싱사이트(www.woorabank.com)로 접속을 하게 된다”고 주의를 당부했다.
 
그럼 대표적으로 국민은행 사이트에 접속할 경우 어떤 과정을 거쳐 피싱사이트로 연결될까.
 
국민은행의 경우 사용자를 속이기 위해서 메인화면으로는 정상적으로 접속이 되고, 로그인 시도시에만 피싱사이트로 접속을 시도하는 특징이 있다.
 
사용자가 로그인을 하기 위해서 [로그인] 버튼을 클릭하면 피싱사이트(obank.kbsmstar.com)로 접속을 변경시도한다. 악성파일은 로그인을 클릭할 경우 피싱사이트로 순식간에 변경을 시도하기 때문에 처음 화면이 정상적이었다는 것만 육안으로 확인하고 안심해서는 안된다. 아래 이미지는 실제 악성파일에 감염된 상태에서 국민은행에 접속한 상태이고, [로그인] 시도시에 피싱사이트로 접속하는 화면이다.
 
피싱사이트(http://obank.kbsmstar.com/bank.asp)로 접속이 되면 기존과 동일하게 보안승급서비스 화면을 보여주고, 금융관련 주요 개인정보 입력을 요구받는다. 해당 도메인은 현재 접속이 차단조치된 상태이지만, 계속해서 새로운 변종 도메인이 등장하고 있으므로, 각별한 주의가 필요하고, 보안승급이나 보안강화라는 서비스로 개인정보를 요구하는 경우에는 절대로 입력하지 않도록 하여야 한다.
 
또한, 악성파일 제작자는 피싱사이트가 차단될 경우를 대비해 피싱사이트 도메인 주소를 언제든지 변경할 수 있도록 국내 특정 사이트에 "j.txt" 명령파일을 등록하는 치밀함도 사용하고 있다.
https://obank1.kbstar.com/quics?page=C027221&weblog=introLogin|obank.kbsmstar.com|0|1##
https://obank.kbstar.com/quics?page=C027221&weblog=introLogin|obank.kbsmstar.com|0|1##
 
또한 악성파일은 감염된 사용자가 어떤 인터넷 뱅킹 사이트에 접속하고 피싱사이트로 접속하였는지 등의 방문기록을 "C:Documents and Settings[사용자 계정명]IEHelper" 경로에 "visited.dat" 파일을 생성하여 기록한다.
 
잉카인터넷 대응팀은 “국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다”며 “새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com