1. 개요
잉카인터넷 대응팀은 국내 인터넷 뱅킹 사용자를 겨냥한 악성파일 변종을 지속적으로 발견하고 있으며, nProtect 전 제품군에 신속하게 진단 및 치료 기능을 제공하고 있다. 최근에는 호스트(hosts)파일을 사용하지 않고, 악성파일 자체의 독립적인 피싱 기능을 이용한 기법도 꾸준히 목격되고 있어 사용자들의 각별한 주의가 요구된다. 호스트 파일을 이용하는 경우는 인터넷 뱅킹 웹 사이트 주소가 실제 주소와 동일하게 보이기 때문에 일반 사용자가 육안만으로 판별하기는 매우 어렵고, 호스트 파일을 이용하지 않는 경우는 유사한 가짜 도메인으로 연결시키기 때문에 인터넷 뱅킹 주소를 꼼꼼하게 살펴볼 경우 충분히 가짜 사이트라는 점을 식별할 수 있다. 또한, 악성파일을 이용한 경우 거의 모두가 [보안강화 서비스] 또는 [보안승급 서비스]라는 명목으로 사용자의 과도한 금융정보 입력을 유도하고 탈취시도 한다는 점이 동일하다는 점을 명심한다면, 유사한 전자금융사기 및 보안위협을 사전에 충분히 예방할 수 있다.
※ 언론보도 참고자료
[SBS 뉴스]악성파일 심어 계좌 해킹…금융기관 비상 (2012. 07. 26)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001296038
[SBS 뉴스]"보안 승급하세요" 보이스피싱 일당 검거 (2012. 09. 13)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001378152
[YTN]은행 사칭 피싱 사이트 다시 '활개' (2012. 09. 22)
http://www.ytn.co.kr/_ln/0102_201209220141409159
[문화일보]은행 사칭 피싱사이트 기승, 月 차단 130건 육박 (2012. 09. 21)
http://www.munhwa.com/news/view.html?no=2012092101071524277002
[아시아경제]은행 사칭 피싱사이트 주의..이달에만 9억 피해 (2012. 09. 25)
http://www.asiae.co.kr/news/view.htm?idxno=2012092510272740697&sec=eco3
[경향신문]가짜 은행 사이트 만들어 2억원 챙긴 일당 검거 (2012. 09. 27)
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201209271150061&code=940100
2. 악성파일 관련 정보
최근들어 자주 발견되고 있는 악성파일 형태는 호스트(hosts)파일을 이용하지 않고, 사용자가 접속하는 인터넷 웹 사이트를 악성파일이 몰래 감시하고 있다가 국내 특정 인터넷 뱅킹 사이트에 접속할 경우 교묘하게 만들어진 가짜 인터넷 뱅킹 사이트로 바꿔치기 하는 수법을 사용하고 있다. 접속된 가짜 인터넷 뱅킹 웹 사이트에는 별도의 팝업 창을 통해 사용자를 현혹시키고, 허위 보안강화서비스를 신청하도록 유혹한다.
☞ http://erteam.nprotect.com/333
[이슈]국내 인터넷뱅킹 출금시도 목적의 악성파일 경계경보 (2012. 09. 04)
☞ http://erteam.nprotect.com/329
[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장 (2012. 08. 23)
☞ http://erteam.nprotect.com/326
이런 지능적 전자금융 사기단들은 사용자들을 속이기 위해서 최근 인터넷 뱅킹 웹 사이트 디자인과 싱크로율 100%인 화면을 사용한다. 아래는 최근에 발견된 인터넷 뱅킹용 악성파일에 감염된 상태에서 은행 사이트 접속시 보여지는 가짜 웹 사이트 화면이다. 실제 국민은행 웹 사이트 화면 자체를 도용하였기 때문에 [보안강화 서비스 신청하기] 부분을 제외한 모든 부분은 현재 국민은행 웹 사이트 화면과 100% 일치한다.
현재 국민은행에서는 이런 유사피싱(파밍) 피해를 최소화하기 위해서 다음과 같이 유익한 보안정보를 제공하고 있다.
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4982
https://otalk.kbstar.com/quics?page=C019391&cc=b032269:b032269
악성파일 변종들은 인터넷 뱅킹 웹 사이트에 접속될 경우 피싱 웹 사이트로 접속되도록 만들어져 있다. 현재 다양한 악성파일이 발견되고 있고, 도메인은 변종에 따라서 계속해서 새롭게 변경되고 있는 상황이다. 아래 화면은 전자금융사기용 악성파일 변종들이 각각 피싱용으로 사용하는 도메인 코드를 가지고 있는 화면 중 일부이다. 신규 도메인의 차단과 생성이 계속 이어지고 있으므로, 유사한 도메인을 목격할 경우 접속을 끊고, 신뢰할 수 있는 인터넷 보안업체나 한국인터넷진흥원, 금융기관 등에 신고하는 노력도 중요하다.
http://www.krcert.or.kr/kor/consult/consult_02.jsp
악성파일에 감염된 상태에서 정상적인 인터넷 뱅킹 웹 사이트에 접속시 가짜 웹 사이트로 변경되며, 아래와 같이 실제 금융사에서는 제공하지 않는 보안강화 서비스 신청하기라는 피싱용 화면을 출력한다. 도메인을 보면 가짜 웹 사이트라는 것을 알 수 있다.
참고로 호스트(hosts)파일을 이용한 피싱의 경우는 가짜 웹 사이트 도메인이 실제 정상 도메인과 동일하게 보여지므로, 도메인 주소만 가지고 정상여부를 구분하는 것보다는 보안강화 서비스 또는 보안승급 서비스라는 내용이 나올 경우 100% 피싱용 웹 사이트라는 점으로 기억하는 것이 더욱 더 효과적이다.
실제로는 존재하지 않는 [보안강화 서비스 신청하기]라는 팝업창을 보여주고 사용자로 하여금 신청하기 클릭을 유도한다. 보안강화 서비스 신청하기 부분을 클릭하면 추가적인 보안강화서비스 화면을 보여주고, 이름(실명)과 주민등록번호 외에 추가 금융정보와 보안카드 전체 번호 등을 입력하도록 유도한다.
3. 마무리
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.
새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다! (1) | 2012.10.09 |
---|---|
[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥 (1) | 2012.10.08 |
[긴급]IE 0-Day (CVE-2012-4969) 취약점 공격 국내표적 현실화 (0) | 2012.09.21 |
[긴급]국내 웹 사이트를 통해서 IE 0-Day (CVE-2012-4969) 공격 진행 중 (0) | 2012.09.19 |
[주의]새로운 Internet Explorer Zero-Day 취약점 발견 (2) | 2012.09.18 |