[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥

1. 개요

국내 인터넷 뱅킹 사용자를 겨냥한 악성파일(KRBanker)이 새로운 방식으로 꾸준히 변화를 시도하고 있다. 이번에 새롭게 발견된 악성파일은 기존처럼 호스트(hosts)파일을 사용하거나 EXE 파일이 독립적으로 사용하는 방식이 아닌 브라우저 도우미 객체(BHO:Browser Helper Object) 기능을 이용하는 형식을 사용하였다. BHO란 인터넷 익스플로러(IE)에 별도의 기능을 지원하기 위해 사용하는 플러그인 형태의 DLL 모듈을 의미하며, 인터넷 익스플로러가 실행되면 자동으로 함께 실행되기 때문에 사용자는 그 실행여부를 쉽게 파악할 수 없어 이전부터 많은 종류의 악성파일이 악용하는 기능 중에 하나였다. 그전까지 호스트(hosts)파일을 이용한 악성파일 형태의 존재가 많이 알려지면서 사이버 범죄자들은 좀더 은밀하게 전자금융 사기용 피싱사이트로 접속을 유도시키는 시도를 하고 있고, 악성파일들도 꾸준히 진화하고 있다는 것을 알 수 있다. 

이처럼 점차 지능화되고 있는 전자금융사기용 악성파일 예방을 위해서 일회성이 아닌 지속적인 보안대책 수립 및 사용자 보안인식 개선과 같은 다각적인 노력과 주의가 필요하다.

---

2. 악성파일 정보

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
☞ http://erteam.nprotect.com/339

[이슈]국내 인터넷뱅킹 출금시도 목적의 악성파일 경계경보
☞ http://erteam.nprotect.com/329

[긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행
☞ http://erteam.nprotect.com/328

[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장
☞ http://erteam.nprotect.com/326

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
☞ http://erteam.nprotect.com/324

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
☞ http://erteam.nprotect.com/294

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
☞ http://erteam.nprotect.com/160

악성파일은 원본파일명이 Update.EXE 이름의 중국어로 제작되어 있으며, 마이크로 소프트사의 윈도우 응용프로그램 통합 개발용 클래스 라이브러리 프로그래밍인 MFC(Microsoft Foundation Class) 기본 아이콘을 사용하였다. 별도의 위장 아이콘을 사용하지 않았다는 점에서 초기버전으로 예상된다.

악성파일이 실행되면 시스템 폴더에 "UpDate.exe" 이름으로 복사본을 생성하고, Program Files 경로에 "IEHelper" 이름의 폴더를 생성하고 내부에 "IeHelper.dll" 파일명의 악성파일을 생성하고 실행한다.

악성파일은 재부팅시 자동으로 실행되도록 레지스트리 Run 값에 "IEHelpRun" 이름으로 등록하고, BHO 모듈도 아래와 같이 등록한다.

BHO 값이 등록된 이후에 인터넷 익스플로러가 실행되면 아래 화면과 같이 "IeHelper.dll" 악성파일이 자동으로 실행되는 것을 확인해 볼 수 있다.

악성파일 제작자는 감염자의 정보수집을 위해서 감염 카운트와 사용자의 MAC주소, IE 버전, OS 등을 수집시도 하기도 한다.

발견당시 악성파일은 국민은행과 우리은행을 표적으로 사용하고 있었지만, 은행사이트는 언제든지 추가되거나 변경될 수 있으므로, 해당 은행사 고객이 아니라고 하여 안심하거나 방심하는 것은 절대 금물이다. 아래 내용은 피싱사고를 예방하고 좀더 이해를 돕기 위해서 실제 악성파일에 감염된 상태에서 특정 금융사이트에 접속하는 시연과정 중 일부이다.

악성파일에 감염된 상태에서 국민은행(www.kbstar.com)에 접속하면 처음에는 정상적인 국민은행 메인 홈페이지 화면으로 정상적으로 접속되고, 로그인시 피싱사이트(obank.kbsmstar.com)로 연결되며, 우리은행(www.wooribank.com)에 접속하면 처음부터 피싱사이트(www.woorabank.com)로 접속을 하게 된다.

그럼 대표적으로 국민은행 사이트에 접속할 경우 어떤 과정을 거쳐 피싱사이트로 연결되는지 살펴보도록 하자.

국민은행의 경우 사용자를 속이기 위해서 메인화면으로는 정상적으로 접속이 되고, 로그인 시도시에만 피싱사이트로 접속을 시도하는 특징이 있다.

사용자가 로그인을 하기 위해서 [로그인] 버튼을 클릭하면 피싱사이트(obank.kbsmstar.com)로 접속을 변경시도한다. 악성파일은 로그인을 클릭할 경우 피싱사이트로 순식간에 변경을 시도하기 때문에 처음 화면이 정상적이었다는 것만 육안으로 확인하고 안심해서는 안된다. 아래 이미지는 실제 악성파일에 감염된 상태에서 국민은행에 접속한 상태이고, [로그인] 시도시에 피싱사이트로 접속하는 화면이다.

피싱사이트(http://obank.kbsmstar.com/bank.asp)로 접속이 되면 기존과 동일하게 보안승급서비스 화면을 보여주고, 금융관련 주요 개인정보 입력을 요구받는다. 해당 도메인은 현재 접속이 차단조치된 상태이지만, 계속해서 새로운 변종 도메인이 등장하고 있으므로, 각별한 주의가 필요하고, 보안승급이나 보안강화라는 서비스로 개인정보를 요구하는 경우에는 절대로 입력하지 않도록 하여야 한다.

또한, 악성파일 제작자는 피싱사이트가 차단될 경우를 대비하여 피싱사이트 도메인 주소를 언제든지 변경할 수 있도록 국내 특정 사이트에 "j.txt" 명령파일을 등록하는 치밀함도 사용하고 있다.

https://obank1.kbstar.com/quics?page=C027221&weblog=introLogin|obank.kbsmstar.com|0|1##
https://obank.kbstar.com/quics?page=C027221&weblog=introLogin|obank.kbsmstar.com|0|1##

또한, 악성파일은 감염된 사용자가 어떤 인터넷 뱅킹 사이트에 접속하고 피싱사이트로 접속하였는지 등의 방문기록을 "C:\Documents and Settings\[사용자 계정명]\IEHelper" 경로에 "visited.dat" 파일을 생성하여 기록한다.

3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com