1. 국내 인터넷뱅킹 이용자를 겨냥한 보안위협 기승
잉카인터넷 대응팀은 국내 시중은행의 전자금융정보를 집중적으로 공략하고 있는 사이버범죄 조직에 대한 추적을 꾸준히 추진하고 있고, 거의 매일 새롭게 제작된 악성파일 유포지와 샘플들을 수집하여 금융보안 강화체계를 상시유지하고 있다. 그런 가운데 금융전문 사이버범죄 조직들은 유출된 개인정보를 남용하여 불특정다수의 스마트폰 이용자들에게 SMS 금융피싱 문구를 끈질기게 무단 배포함과 동시에 악성파일과 호스트파일 변조기법을 통한 피싱, 파밍공격도 동시다발적으로 확대하고 있는 상황이다.
최근 수개월 사이에 전자금융 사기형태의 보안위협이 눈에 띄게 급증하고 있다는 점과 나날이 정교화, 다양화되고 있다는 점도 반드시 유념하여야 한다. 이용자들은 이미 알려져 있는 주요 보안취약점을 제거하는 등 개인보안을 강도 높게 유지하고 철저히 대비해야만 자신의 금융계좌에 안전하게 보관되어 있는 소중한 예금이 악의적 사이버범죄 조직들에 의해서 불법적으로 무단 인출되는 피해를 미연에 예방할 수 있다. 이처럼 전자금융 서비스가 새로운 보안위기에 직면하고 있지만, 사이버범죄 조직들이 상습적으로 사칭하여 악용하고 있는 ["보안승급(강화)서비스"는 모두 거짓]이라는 내용을 사전에 충분히 인지하고 있는 것이 무엇보다 중요하며, 국내 금융사에서는 평상시와 다르게 과도하게 금융정보 입력을 요구하지 않는다는 점도 반드시 명심해야 할 부분이다.
2. 불법적 웹 해킹과 악성파일 유포는 기본
그동안 해외 인터넷뱅킹 사용자들을 표적으로 한 악성파일들은 꽤 오래전부터 문제를 일으키고 있었지만, 국내 인터넷뱅킹 사용자들을 집중적으로 노린 악성파일 형태는 그리 오래되지 않았다. 앞서 2011년 05월 경 잉카인터넷이 그 실체를 첫 공식보고한 이후 약 1년이 지난 2012년 05월 경부터 호스트파일(hosts) 변조를 이용한 인터넷뱅킹용 악성파일 형태가 급격히 증가하고 있는 상황이다.
개인 금융정보 탈취를 목적으로 한 사이버범죄 조직은 정상적으로 운용중인 국내 웹 사이트를 무단 해킹하여 실제 배포 중인 정상적인 미디어 재생프로그램 설치본에 악성파일을 교묘하게 포함시키거나 파일공유서비스 중에 하나인 웹하드 전용프로그램에 악성파일을 포함하여 배포하는 등 지능적인 해킹수법과 결합하여 악성파일을 유포시킨 바 있다.
그외에도 다수의 국내 웹 사이트를 변조하여 악의적인 스크립트를 삽입하여 보안이 취약한 이용자들이 웹 사이트 접근만으로 자동으로 악성파일에 노출되도록 만드는 수법을 통해서 다수의 이용자들을 공격하고 있는 심각한 상황이 거의 매일 이어지고 있다.
2012년 09월 03일에는 공격자가 악성 스크립트를 Mass Web Injection Attack 과정에서 공격명령을 잘못 입력하여 실제 정상적인 공격으로 연결되지 못하는 사례도 발견된 바 있다. "iframe src=http" 명령어 형태로 삽입되지 않아 코드명령이 정상적으로 처리되지 않는다.
또한, 악성파일 제작자가 한글 Windows 운영체제를 자유자재로 사용하고 있다는 정황도 다수 포착되고 있다. 그동안 악성파일을 제작할 때 사용하는 프로그래밍 언어로는 한국어, 중국어 등이 복합적으로 쓰이고 있으며, 2012년 09월 03일에 발견된 관련 파일의 내부코드에서는 다음과 같이 한글 경로가 포함된 문구가 발견되기도 하였다.
더불어 한국내 금융보안 솔루션 모듈처럼 위장하거나 Kaspersky 보안기업의 허위 디지털 서명을 포함했던 경우도 존재한다.
3. 호스트파일(hosts) 변조를 통한 피싱(파밍)사이트로 바꿔치기
인터넷뱅킹용 악성 파일류를 조직적으로 배포하고 유포하는 범죄자들은 대체로 윈도우 운영체제에서 사용하는 호스트파일(hosts)을 변조하여 국내 대표 금융사이트 도메인을 피싱사이트 IP주소로 연결되도록 변경하는 수법을 사용하고 있다.
피싱 IP주소는 유관기관에서 지속적으로 차단조치하고 있지만, 공격자들도 계속해서 새로운 IP주소를 만들어 사용하고 있는 상황이다. 인터넷뱅킹 이용자가 악성파일에 의해서 호스트파일이 위와같은 악의적인 IP주소로 강제 연결될 경우 정교하게 조작된 가짜 인터넷뱅킹 사이트로 접속하게 되며, 사전에 치밀하게 준비된 금융정보 입력 요구화면을 접하게 된다. 그러나 자세히 보면 일부 오타가 존재하는 등 허술한 모습도 존재한다.
특히, 아래와 같인 주민번호 외에 인터넷뱅킹에 필요한 거의 모든 정보를 과도하게 요구하여 탈취를 시도하기 때문에 각별한 주의가 필요하고, 보안카드의 모든 번호는 절대로 입력하거나 외부에 노출시켜서는 안된다.
잉카인터넷 대응팀은 국내 시중은행의 전자금융정보를 집중적으로 공략하고 있는 사이버범죄 조직에 대한 추적을 꾸준히 추진하고 있고, 거의 매일 새롭게 제작된 악성파일 유포지와 샘플들을 수집하여 금융보안 강화체계를 상시유지하고 있다. 그런 가운데 금융전문 사이버범죄 조직들은 유출된 개인정보를 남용하여 불특정다수의 스마트폰 이용자들에게 SMS 금융피싱 문구를 끈질기게 무단 배포함과 동시에 악성파일과 호스트파일 변조기법을 통한 피싱, 파밍공격도 동시다발적으로 확대하고 있는 상황이다.
최근 수개월 사이에 전자금융 사기형태의 보안위협이 눈에 띄게 급증하고 있다는 점과 나날이 정교화, 다양화되고 있다는 점도 반드시 유념하여야 한다. 이용자들은 이미 알려져 있는 주요 보안취약점을 제거하는 등 개인보안을 강도 높게 유지하고 철저히 대비해야만 자신의 금융계좌에 안전하게 보관되어 있는 소중한 예금이 악의적 사이버범죄 조직들에 의해서 불법적으로 무단 인출되는 피해를 미연에 예방할 수 있다. 이처럼 전자금융 서비스가 새로운 보안위기에 직면하고 있지만, 사이버범죄 조직들이 상습적으로 사칭하여 악용하고 있는 ["보안승급(강화)서비스"는 모두 거짓]이라는 내용을 사전에 충분히 인지하고 있는 것이 무엇보다 중요하며, 국내 금융사에서는 평상시와 다르게 과도하게 금융정보 입력을 요구하지 않는다는 점도 반드시 명심해야 할 부분이다.
2. 불법적 웹 해킹과 악성파일 유포는 기본
그동안 해외 인터넷뱅킹 사용자들을 표적으로 한 악성파일들은 꽤 오래전부터 문제를 일으키고 있었지만, 국내 인터넷뱅킹 사용자들을 집중적으로 노린 악성파일 형태는 그리 오래되지 않았다. 앞서 2011년 05월 경 잉카인터넷이 그 실체를 첫 공식보고한 이후 약 1년이 지난 2012년 05월 경부터 호스트파일(hosts) 변조를 이용한 인터넷뱅킹용 악성파일 형태가 급격히 증가하고 있는 상황이다.
개인 금융정보 탈취를 목적으로 한 사이버범죄 조직은 정상적으로 운용중인 국내 웹 사이트를 무단 해킹하여 실제 배포 중인 정상적인 미디어 재생프로그램 설치본에 악성파일을 교묘하게 포함시키거나 파일공유서비스 중에 하나인 웹하드 전용프로그램에 악성파일을 포함하여 배포하는 등 지능적인 해킹수법과 결합하여 악성파일을 유포시킨 바 있다.
그외에도 다수의 국내 웹 사이트를 변조하여 악의적인 스크립트를 삽입하여 보안이 취약한 이용자들이 웹 사이트 접근만으로 자동으로 악성파일에 노출되도록 만드는 수법을 통해서 다수의 이용자들을 공격하고 있는 심각한 상황이 거의 매일 이어지고 있다.
2012년 09월 03일에는 공격자가 악성 스크립트를 Mass Web Injection Attack 과정에서 공격명령을 잘못 입력하여 실제 정상적인 공격으로 연결되지 못하는 사례도 발견된 바 있다. "iframe src=http" 명령어 형태로 삽입되지 않아 코드명령이 정상적으로 처리되지 않는다.
또한, 악성파일 제작자가 한글 Windows 운영체제를 자유자재로 사용하고 있다는 정황도 다수 포착되고 있다. 그동안 악성파일을 제작할 때 사용하는 프로그래밍 언어로는 한국어, 중국어 등이 복합적으로 쓰이고 있으며, 2012년 09월 03일에 발견된 관련 파일의 내부코드에서는 다음과 같이 한글 경로가 포함된 문구가 발견되기도 하였다.
더불어 한국내 금융보안 솔루션 모듈처럼 위장하거나 Kaspersky 보안기업의 허위 디지털 서명을 포함했던 경우도 존재한다.
3. 호스트파일(hosts) 변조를 통한 피싱(파밍)사이트로 바꿔치기
인터넷뱅킹용 악성 파일류를 조직적으로 배포하고 유포하는 범죄자들은 대체로 윈도우 운영체제에서 사용하는 호스트파일(hosts)을 변조하여 국내 대표 금융사이트 도메인을 피싱사이트 IP주소로 연결되도록 변경하는 수법을 사용하고 있다.
피싱 IP주소는 유관기관에서 지속적으로 차단조치하고 있지만, 공격자들도 계속해서 새로운 IP주소를 만들어 사용하고 있는 상황이다. 인터넷뱅킹 이용자가 악성파일에 의해서 호스트파일이 위와같은 악의적인 IP주소로 강제 연결될 경우 정교하게 조작된 가짜 인터넷뱅킹 사이트로 접속하게 되며, 사전에 치밀하게 준비된 금융정보 입력 요구화면을 접하게 된다. 그러나 자세히 보면 일부 오타가 존재하는 등 허술한 모습도 존재한다.
4. 보안승급(강화)서비스 = 전자금융사기 => 금융계좌 불법 해킹시도
전자금융사기를 진행하기 위해서 사이버범죄 조직들은 정상적인 인터넷뱅킹 사이트를 정교하게 모방하여 피싱사이트를 만든 후 아래와 같이 인터넷뱅킹 보안서비스라는 명목으로 사용자들을 현혹한다.
실제 정상적인 인터넷뱅킹 사이트에서는 보안프로그램 배포 등의 서비스를 진행하고 있지만, 아래와 같이 보안강화서비스 또는 보안승급서비스라는 이름으로 사용자의 개인정보를 입력하도록 요구하지는 않는다. 따라서 인터넷뱅킹 이용자들은 아래와 같은 허위 서비스에 현혹되지 않도록 하는 것이 무엇보다 중요하고, 아래 화면을 잘 숙지해 두어 유사한 보안위협에 노출되지 않도록 하여야 한다.
특히, 아래와 같인 주민번호 외에 인터넷뱅킹에 필요한 거의 모든 정보를 과도하게 요구하여 탈취를 시도하기 때문에 각별한 주의가 필요하고, 보안카드의 모든 번호는 절대로 입력하거나 외부에 노출시켜서는 안된다.
5. 전자금융사기 아는 것이 힘!
인터넷 뱅킹 이용자를 노린 새로운 악성파일이 거의 매일 새롭게 출현하고 있는 심각한 상황이다. 나 자신도 모르게 악성파일에 노출될 수 있다는 점과 전자금융의 보안위협이 급격히 증가하고 있다는 점에서 아래와 같은 정보들을 숙지하여 예금인출 피해를 예방하도록 하자.
[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행
☞ http://erteam.nprotect.com/328
[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
☞ http://erteam.nprotect.com/326
[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
☞ http://erteam.nprotect.com/324
[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
☞ http://erteam.nprotect.com/294
[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320
[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313
[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
☞ http://erteam.nprotect.com/160
☞ http://erteam.nprotect.com/328
[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
☞ http://erteam.nprotect.com/326
[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
☞ http://erteam.nprotect.com/324
[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
☞ http://erteam.nprotect.com/294
[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320
[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313
[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
☞ http://erteam.nprotect.com/160
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]국내 인터넷뱅킹용 악성파일 유포조직 원격제어 시도 (0) | 2012.09.12 |
---|---|
[정보]일본 여성 사용자들을 대상으로 한 안드로이드 악성 애플리케이션 (0) | 2012.09.04 |
[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행 (1) | 2012.08.31 |
[주의]페이스북 사진으로 사칭하여 전파 중인 악성파일 (1) | 2012.08.30 |
[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장 (3) | 2012.08.23 |