잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다.
[주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/450
[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장
☞ http://erteam.nprotect.com/438
[긴급]6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개
☞ http://erteam.nprotect.com/427
[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428
[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
☞ http://erteam.nprotect.com/429
비트코인은 해외에서 2009년부터 사용되고 있고, 다양한 보안위협 이슈도 함께 발생하고 있다, 국내에서는 그동안 다소 생소했었으나 2013년 12월 01일 인천 시청역점 파리바게트 가맹점 주인 이종수씨의 아들 제안에 따라 해당 매장에서 비트코인 결제가 가능한 서비스를 도입했다는 소식이 알려지면서 국내에서도 다양한 반응을 보이고 있다.
인터넷에 소개된 내용에 의하면 뉴욕에서 금융학을 전공한 둘째 아들 이찬우(25)씨는 지난 6월 경 비트코인을 첫째 아들 이진우(29)씨에게 소개했고, 형제들은 국내 비트코인 거래소 관계자와 의논하던 중 아버지 이종수씨에게 비트코인 결제를 매장에 도입하자고 제안했고, 이진우씨가 원화를 비트코인으로 환산하는 안드로이드앱을 개발하여, 기존에 있던 코인베이스 앱을 통해서 결제하도록 했다고 한다.
매장내에서 물건 금액을 비트코인 환산 시스템에 입력 한 뒤 QR 코드를 스캔하면 코인베이스를 통해 온라인 가상계좌에 연결되고, 해당 매장 대표 계좌로 이체하면 결제가 이뤄진다. 2013년 12월 05일까지 총 4명의 고객이 비트코인을 이용해서 계산했다고 한다. 이렇게 오프라인 매장에서 실제 제품구매에 비트코인이 적용되자 인터넷에서 많은 관심과 소개가 이어졌다.
2. 한국 맞춤형 비트코인 계정탈취 기능 최초보고
앞서 공개한 바와 같이 국내에서 비트코인 사용처 1호가 등장했다는 소식이 언론 등을 통해서 다양하게 알려진 후 기존 사이버 범죄자들도 본격적으로 한국 맞춤형 악성파일에 비트코인 이용자들을 노리기 시작한 것으로 추정된다. 2013년 12월 06일 국내에 배포된 온라인 게임 계정 악성파일 변종 중 일부에서 기존의 기능에 비트코인 거래소 등의 계정탈취 기능이 추가된 것이 잉카인터넷 대응팀에 의해서 최초 확인됐다.
악성파일은 기본적으로 국내 유명 온라인 게임 이용자들의 계정 탈취 기능을 보유하고 있으나, 이번에 새롭게 발견된 종류는 국내외 비트코인 관련 특정 사이트 이용자들의 계정 탈취 기능이 추가됐다.
악성파일에 의해서 탈취 대상 시도로 정해진 곳은 아래와 같이 총 14개 사이트이며, 국내외 대표 비트코인 거래소들의 웹 사이트이다. 변종에 따라서 사이트는 언제든지 추가될 수 있다.
.bitup.co.kr
.korbit.co.kr
bitpay.com
coinbase.com
multibit.org
bitcoindomains.blogspot.kr
.bitcointalk.org
.bitcoin.org
.mtgox.com
.xbitcoinx.com
.sellbitcoins.co.kr
.buyanythingwithbitcoin.com
.buybitcoin.co.kr
blockchain.info
유포에 관련된 악성파일은 국내 유수의 웹 사이트에 접속하여 실제 존재하지 않는 이미지(001.jpg) 파일을 다운로드하는 기능을 수행하기도 하며, 특정 사이트의 관리자 계정 탈취 기능을 수행했던 변종이기도 하다.
http://www.daum.net/001.jpg
http://www.dombyshop.co.kr/bbs2/data/001.jpg
http://www.btdot.com/001.jpg
http://www.srsr.co.kr/bbs2/data/001.jpg
http://www.dompage.co.kr/bbs2/data/001.jpg
http://www.v3lite.com/001.jpg
http://www.nate.com/001.jpg
http://www.msn.com/001.jpg
http://www.hangame.com/001.jpg
http://www.cbs.co.kr/001.jpg
http://www.joinsmsn.com/001.jpg
http://m.ahnlab.com/001.jpg
http://m.ahnlab.com/0048253/001.jpg
http://www.tistory.com/start/001.jpg
http://www.nexon.com/001.jpg
http://user.nexon.com/001.jpg
http://www.netmarble.net/001.jpg 등
또한, 기존의 온라인 게임계정 탈취용 악성파일과 같이 국내 무료 보안제품 3종에 대한 방해 기능도 포함되어 있다.
비트코인과 관련된 사회적 관심과 함께 사이버 범죄자들이 이를 노리고 있다는 점을 명심하고, 이용자들은 자신의 중요한 계정정보가 외부에 노출되지 않도록 각별한 주의가 필요하다. 이러한 악성파일은 대표적인 3대 보안취약점(Microsoft OS/APPLICATION, Adobe Flash/Reader, Oracle JAVA)을 이용해서 전파하는 경우가 많으므로, 반드시 최신버전의 업데이트를 설치하고 유지하는 노력을 하여야 한다.
더불어 신뢰할 수 있는 Anti-Malware 프로그램 등을 이용해서 악성파일 감염여부를 정기적으로 점검하도록 한다. 보안제품은 항시 최신버전으로 자동업데이트 되도록 설정해 두고, 실시간 감시 기능과 예약검사 기능들을 활성화하여 사용하면 효과적이다.
nProtect 보안 제품군에는 해당 악성파일들에 대해서 Trojan/W32.KRBitCoiner 라는 대표 진단명으로 추가된 상태이다.
3. 마무리
국내 비트코인 거래소 관련 사이트의 이용자 정보를 노리는 악성파일이 출현함에 따라 이용자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.
잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포 (0) | 2013.12.23 |
---|---|
[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격 (0) | 2013.12.17 |
[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일 (0) | 2013.11.14 |
[주의]CVE-2013-3906 MS Word Zero-Day 취약점 공격 (0) | 2013.10.31 |
[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견 (2) | 2013.10.29 |