분석 정보/악성코드 분석 정보

[주의]해외 인터넷 뱅킹 사용자를 대상으로 한 악성파일 발견

TACHYON & ISARC 2011. 10. 7. 13:59

1. 개요


국내 각종 금융 보안사고와 보안위협 등장으로 금융 보안이 화두로 떠오르는 가운데 해외 금융사의 인터넷 뱅킹 사용자를 대상으로한 악성파일이 최근 발견되어 해외 인터넷 뱅킹 사용자의 각별한 주의가 필요한 상황이다. 이와 같은 시점에서 금융거래 위협 및 위험에 대한 사용자들의 각별한 관심과 주의차원에서 관련 글을 제공한다.

■ 해외 인터넷 뱅킹 타겟용 악성파일 사례

1. 제우스(Zeus) 소스 암호 해독 버전 트위터 통해 빠르게 전파 중
http://erteam.nprotect.com/156

2. 금융결제와 관련한 피싱사례 발견 주의 필요
http://erteam.nprotect.com/127

3. 영국은행 Lloyds TSB 에서 발송한 것으로 사칭한 악성 피싱 이메일 국내 발견
http://erteam.nprotect.com/58

2. 감염 경로 및 증상

이번에 발견되어진 악성파일은 국제 금융 그룹사의 한 인터넷 뱅킹 사용자를 대상으로 제작되어진 것으로 파악되어지며, 악성 프로그램 동작시 고객 계좌번호, 비밀번호 등의 입력된 사용자 정보를 특정 IP로 SMTP(전자 우편 전송 프로토콜 : Simple Mail Transfer Protocol) 전송하는 것으로 확인 되었다.

현재 해당 악성파일은 아래와 같이 관련 금융사 모듈과 같은 파일명으로 되어져 있으며, 파일 내부 버전 및 설명 또한 "(금융사명) Bank Brasil S.A. - Banco Múltiplo" 와 같이 정상적인 포루투갈(브라질) 언어 모듈로 위장 되어져 있는 상태이다.

악성파일을 실행하게 되면 다음과 같이 "업데이트 등록을 위한 응용 프로그램 구성을 하는 동안 잠시 기다려주십시오." 와 같은 메시지 박스가 출력 되며, 특정 IP와 지속적인 통신을 시도 하게 된다.

※ 악성파일 실행에 따른 네트워크 활동 정보

"Modulo_(금융사)" 대기 메시지 창이 닫히면 다음과 같이 "(금융사) SSL 암호화 서버에 연결하는 동안 잠시 기다려주십시오." 와 같은 메시지 창으로 넘어가게 된다.

다음 화면에서는 11자리 숫자 입력이 가능한 "CPF" 정보 입력창이 나타나며, 입력후 "OK" 버튼을 누르면 다음 화면으로 넘어가게 된다.

아래와 같이 키보드 보안 활성화 창이 나타나며, 키보드를 이용하여 4자리 비밀번호를 입력하고 확인 버튼을 클릭하여 다음 단계로 넘어가게 된다.

다음 단계로 넘어오면 아래와 같이 현 은행은 고객의 최상의 보안을 제공하고 있음을 알리는 메시지와 함께, 사용자로 부터 7자리 비밀번호(영숫자 7자리, 문자 또는 숫자) 입력을 요구하게 된다.

다음으로 결재카드에 대한 세부 정보 등록 사항을 보여지며, 인터넷 뱅킹시 사용 가능한 정보 기입을 요구 하게 된다.


모든 정보 기입이 완료되어지면, 아래와 같이 사용자의 모든 데이터가 성공적으로 등록 완료 되었음을 알리는 메시지와 더불어 닫기 버튼이 창이 포함된 화면이 출력된다.


현재까지 입력한 정보가 정상적으로 입력 되었으며, 임의의 입력 데이터가 외부로 유출 되는지 확인하기 위하여 악성파일 실행후 네트워크 동작을 확인 하였으며 다음과 같이 특정 IP로 SMTP를 발송하는 것으로 확인되었다.

※ 패킷 전송 데이터 정보

   - 사용자에 의하여 입력되어진 정보내용(카드 계좌번호 및 계좌 비밀번호)이 다음과 같이 기록되어져 있음을 확인할 수 있었다.


   - SMTP가 전송되어지는 목적지 IP 주소는 현재 미국의 특정 주로 확인이 되었다.


 3. 예방 조치 방법

위와 같은 금융 보안 위협으로 부터 안전한 사용을 위해서는 아래와 같은 보안 관리 수칙을 준수하여 최소한의 안전성 보장이 가능한 온라인 금융거래를 이용 할 수 있도록 하자.

※ 인터넷 뱅킹 사용자 개인 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화
2. 인터넷 뱅킹 사용시 제공받는 보안 유지 제품(키보드 보안, 온라인 무료 백신 등)을 최대한 활용
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지해 사용하며, 실시간 감시 기능을 항상 "ON" 상태로 유지할 수 있도록 한다.
4. 발신처가 불분명한 이메일에 대한 열람 및 첨부파일 다운로드 및 실행 자제
5. 인스턴스 메신저, SNS 등을 통한 링크 접속 주의
6. 공인 인증서(NPKI)는 USB 드라이브 등 이동형 저장 매체에 보관
7. 보안 카드는 타인에게 누출되지 않도록 주의하고 편의 목적으로 스캔한 이미지 등을 별도 보관해 두지 않는다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적은 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면 및 진단 현황

- Trojan-Spy/W32.Banker.1977856.D