2024-03-29 11:20 (금)
한국맞춤형 전자금융사기 악성파일 KRBanker 등장
상태바
한국맞춤형 전자금융사기 악성파일 KRBanker 등장
  • 길민권
  • 승인 2013.08.11 17:47
이 기사를 공유합니다

변신의 귀재…인터넷 뱅킹용 악성파일
국내 시중은행의 인터넷 뱅킹 이용자들을 겨냥한 악성파일을 집중 모니터링하던 중 기존과 다르게 작동하는 유형이 발견됐다. 이번 악성파일은 워드패드 파일의 아이콘처럼 자신을 위장하고 있으며, 중국어로 제작되어 있다. 최근 며칠 사이에 변종이 계속 증가하고 있는 추세여서 이용자들의 각별한 주의가 요구된다.
 
이번 악성파일을 발견하고 분석한 잉카인터넷 대응팀 관계자는 “악성파일이 작동되면 루트 드라이브에 임의의 폴더를 생성하고 내부에 정상적인 "csrss.exe" 파일과 임의의 파일명으로 악성 dll 파일을 생성한다”며 “특징적인 점은 기존에 윈도우 운영체제에서 사용하던 "rundll32.exe" 파일을 "csrss.exe" 파일명으로 생성한다는 점인데, 이것은 악성파일 자신을 최대한 은닉하기 위한 수법으로 활용했다는 점이다. 또한, "start.lnk" 파일을 생성해서 재부팅 후에도 "csrss.exe" 파일을 실행하고, 악성 dll 파일을 로드할 수 있도록 한 점도 특이하다”고 설명했다.  
 
또 “외부 사이트에 접속해서 plus.php 파일을 받은 후 data.mdb 파일로 생성하는데, 이 파일에는 파밍사이트로 사용할 호스트 정보가 담겨 있고, "hosts.ics" 파일을 만드는데 이용된 후 삭제된다”며 “정상적인 "hosts" 파일을 삭제한다. 이로인해 감염된 컴퓨터에서 인터넷 뱅킹 사이트에 접속시 가짜 사이트로 연결되도록 만들어지게 된다”고 덧붙였다.
 
◇변신의 귀재…인터넷 뱅킹용 악성파일
악성파일은 국내 다수의 웹 사이트를 변조해 Drive By Download 기법을 통해서 전파된다. 악성파일에 노출이 되면 임의의 숫자와 알파벳으로 조합된 특정 폴더를 생성하고 내부에 파일명이 랜덤한 dll 악성파일과 정상적인 "rundll32.exe" 파일에서 이름만 변경한 "csrss.exe" 파일을 생성하고 실행한다.

 
"start.lnk" 바로가기 파일은 레지스트리에 자신을 등록해서 재부팅 시 자동으로 실행되도록 조작되어 있다.
 
그리고 "csrss.exe" 파일은 악성 "Bnhd.dll" 파일을 실행하고, 특정 호스트로 접속하여 plus.php 파일을 다운로드하며, 내부적으로 마치 ZIP 포맷처럼 보이도록 파일헤더를 조작하고 있다.
 
이 파일은 동일한 경로에 "data.mdb" 라는 파일명으로 생성되고, "hosts.ics" 파일을 생성하는데 사용한 후 삭제된다. 그리고 정상적인 "hosts" 파일도 삭제한다. 호스트 파일(hosts.ics)은 변경되고, 정상적으로 존재하는 hosts 파일은 삭제된다.
 
이렇게 "hosts.ics" 파일이 변경되면 이용자가 정상적인 인터넷 뱅킹 사이트를 접속하더라도 110.34.210.115 IP 주소의 파밍사이트로 연결된다.
 
파밍 사이트에서는 팝업창을 띄어 마치 전자금융사기 예방시스템 신청이라는 문구로 이용자를 현혹하여 개인정보를 입력하는 사이트로 연결을 유도한다.
 
<전자금융사기 예방시스템 신청> 부분을 클릭하게 되면 과도하게 금융정보를 입력하도록 요구하는 화면을 보여주게 되고, 그 이후로도 보안카드 등 정상적인 금융사이트에서는 요구하지 않는 보안정보를 입력하도록 현혹하게 된다. 이용자가 만약 해당 지시사항대로 금융정보를 입력하게 되면 악성파일에 의해서 유출된 정보로 인해서 예기치 못한 예금인출 사고를 입을 수 있게 된다.
 
잉카인터넷 문종현 팀장은 “접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세”라며 “과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러 차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것”이라고 조언했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★