2024-03-19 11:15 (화)
블로그 광고배너 통한 인터넷뱅킹 악성코드 유포 주의
상태바
블로그 광고배너 통한 인터넷뱅킹 악성코드 유포 주의
  • 길민권
  • 승인 2014.03.07 17:18
이 기사를 공유합니다

감염시 가짜 포털 사이트로 연결...금융정보 탈취 목적
지난 3월 4일 밤, 특정 광고 배너가 포함된 티스토리(Tistory) 블로그 광고 배너에서 인터넷뱅킹 악성코드가 유포되고 있는 정황이 포착됐다.
 
보안블로그 ‘울지않는 벌새’는 해당 블로그 상에서 취약점 방식으로 유포되는 것으로 확인된 악성코드가 어떤 경로를 통해 노출이 이루어지고 있는지 확인한 후 아래와 같은 상세 내용을 공개하며 주의를 당부했다.
 
확인 결과 블로그 하단 영역에 추가한 CPC 광고 배너로 알려진 특정 광고 서버에 악성 iframe이 추가되어 노출이 발생했고, 이를 통해 접속한 사용자 PC에 설치된 특정 응용 프로그램의 보안 패치가 이루어지지 않은 경우 자동 감염(Drive-By Download) 방식으로 설치가 이루어질 수 있다고 경고했다.
 
이를 통해 최종적으로 다운로드된 파일<SHA-1 : 3738caaeb59fe87429c23b053eb1d873f0dba6ea - nProtect : Trojan/W32.KRBanker.24789 (VT : 39/50)>은 "C:Users(사용자 계정)AppDataLocalTemplog.exe" 파일로 생성된 후 악성코드 설치 후 자가 삭제 처리된다.
 
감염된 환경에서는 "C:Program FilesCommon Files" 폴더 내에 마이크로소프트 관련 파일로 위장한 log.exe 악성 파일을 생성하며, 파일 속성을 보면 "중국어(간체, PRC)"로 언어가 표시되는 것이 특징이다.
 
이렇게 생성된 파일은 윈도우 시작시 "C:Program FilesCommon Fileslog.exe" 파일을 시작 프로그램으로 등록해 자동 실행되어 외부 통신을 시도한다.
 
자동 실행된 파일(log.exe)은 특정 서버를 오픈해 중국의 특정 QQ 계정에 등록된 정보를 통해 추가적인 악성 파일을 받아오도록 제작되어 있으며, 테스트 당시에는 파일을 받아오지는 않았다.
 
이러한 동작은 기존 웹하드를 통해 유포된 인터넷뱅킹 악성코드와 거의 유사하다는 것을 알 수 있다.
 
또한 자동 실행되어 메모리에 상주한 log.exe 악성 파일은 6분 주기로 호스트 파일 2개를 삭제 후 재생성하는 방식으로 업데이트를 진행한다.
 
특히 호스트 파일 변조(생성) 과정에서 알약 무료 백신의 호스트 파일 보호 기능을 통한 알림창 생성 기능을 방해하도록 제작되어 있다.
 
인터넷뱅킹 악성코드에 감염된 환경에서는 사용자가 지정한 IE 웹 브라우저의 홈 페이지 주소를 포털 ‘네이버’(Naver)로 변경하는 동작이 발생한다.
 
그 이유는 변조(생성)된 호스트 파일에서 답을 찾을 수 있는데 감염된 사용자가 웹 브라우저를 실행할 경우 무조건 네이버를 오픈하도록 설정해 가짜 네이버 웹 사이트로 연결이 이루어지도록 하기 위해서다.
 
실제 변조된 호스트 파일(hosts, hosts.ics)을 확인해보면 "114.182.15.232" IP 서버로 은행, 포털 사이트 접속시 연결되도록 구성되어 있으며 이를 통해 감염된 환경에서 포털 사이트 접속시 다음과 같은 모습을 볼 수 있다.
 
 
 
사용자가 네이버에 접속하면 가짜 네이버 웹 사이트로 연결해 "yessign 금융결제원 전자인증센터" 팝업창을 생성해 금융 사기에 따른 보안 관련 인증 절차를 진행하도록 유도한다.
 
다음(Daum) 사이트의 경우에는 "금융감독원에서 보안관련 인증 절차를 진행하고 있습니다."라는 팝업창을 생성해 은행 사이트로 접속하도록 유도한다.
 
네이트(Nate) 사이트에서도 "yessign 금융결제원 전자인증센터" 팝업창을 생성해 안전한 인터넷뱅킹을 위한 보안서비스를 위해 은행 사이트 접속을 유도하고 있다.
 
이 처럼 국내 인터넷 사용자들이 많이 사용하는 포털 사이트(네이버, 다음, 네이트) 또는 인터넷 쇼핑몰을 중심으로 접속시 팝업창 생성을 통한 은행, 증권 등 금융권 사이트로 접속을 유도해 금융 정보를 탈취하려 한 것이라고 블로그 운영자는 설명한다.
 
이처럼 인터넷뱅킹 악성코드에 감염된 사용자가 팝업창에서 안내하는 은행 사이트를 방문했을 경우, 인터넷 주소가 은행 사이트와 동일하거나 매우 유사한 주소를 이용하는 경우가 많다.
 
국민은행 접속시 보안 관련 인증 절차 안내창이 생성되어 "확인" 버튼을 클릭하도록 유도하고 있다.
 
또한 국민은행의 다른 콘텐츠를 클릭할 경우에는 "보안관련 인증절차를 받으시면 더욱 안전한 인터넷 뱅킹을 이용하실수 있습니다. 절차진행후 이용하여 주십시오."라는 메시지 창을 통해 무조건 공격자가 원하는 단계로 연결이 된다.
 
연결된 공인인증센터에서는 사용자의 이름, 주민등록번호를 입력해 금융 정보(계좌 번호, 비밀번호, 보안 카드 등)를 입력하도록 할 것으로 추정된다.

기업은행을 비롯해 일부 은행 사이트 접속시에는 "※ 최근 카드회사 3사의 개인정보유출 관련문제로 인터넷 뱅킹의 금융개인 모든정보를 한층더 업그레이드 하셔야합니다. 지금 바로 서비스 신청하셔야합니다. 본서비스는 필수 학목입니다."라는 메시지 창을 생성해 공인인증센터로 연결되도록 되어 있다.
 
그 외 농협의 경우에는 파밍 사이트 차단 안내를 통해 연결이 이루어지지 않도록 가장 빠르게 대응이 이루어지고 있는 것으로 확인되고 있다.
 
울지않는 벌새는 “이처럼 사용자 PC에 몰래 설치될 수 있는 인터넷뱅킹 악성코드는 수집된 정보를 바탕으로 막대한 금전적 피해를 유발할 수 있다는 점에서 감염되지 않도록 PC 보안에 신경을 써야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★