[주의]메모리해킹, 애드웨어와 동영상 플레이어 서버 통해서 지속전파

1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격

잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다.

물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다.

해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다.

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461

[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포
☞ http://erteam.nprotect.com/460

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
☞http://erteam.nprotect.com/437

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ http://erteam.nprotect.com/319

애드웨어를 통한 유포방식은 Drive By Download 기법의 보안관제를 우회하기가 좋고, 보안취약점이 존재하지 않아도 된다는 장점 때문에 메모리 해킹 조직이 수 개월 이상 집중공격에 이용하고 있고, 매우 다양한 애드웨어가 악용되고 있는 실정이다.

악성파일 유포에 악용된 대표적인 국내 애드웨어 이름은 다음과 같이 매우 다양하고, 아래 공개한 서버 이외에도 다수가 발견되고 있는 실정이다.

무심코 설치하여 방치하고 있던 애드웨어의 업데이트와 설치 등에 의해서 메모리 해킹 기능의 전자금융사기 공격에 광범위하게 노출되고 있어 그 심각성이 더해가고 있다. (알파벳 순서)

addendam

addendov
adgod

batangicon

enumstates

everlive

filepop

liveicon
milkcon 

openkeyword

openmatch (adgod)

openpotservice

popscan

qcounter

search-lines

smart-manager

smarttip

smartw

syndiapi

vaccineclinic

windoguide

wingsearch
기타등등

2. 유틸리티 서버를 겨냥한 결합형 해킹시도 징후포착 

이런 가운데 2014년 01월 10일과 11일에는 동영상 재생 프로그램인 초코플레이어 웹 사이트를 통해 메모리 해킹 기법의 악성파일 유포에 악용된 정황도 포착되었다. 현재는 악성파일이 서버에서 모두 제거된 상태이다.

[1월 10일]

http://www.chocoplayer.com/board/data/php/lg1.exe 

[1월 11일]

http://www.chocoplayer.com/board/data/php/lg.exe

잉카인터넷 대응팀은 국내 애드웨어 서버를 통해 은밀하게 메모리 해킹용 악성파일을 유포하던 조직들이 유명 유틸리티 프로그램의 서버들도 노리고 있다는 것을 예의주시하고 있다.

이들은 이미 과거에도 안카메라 서버를 해킹해 온라인 게임 계정탈취 기능의 악성파일을 배포된 바 있다. 아래는 2013년 03월 23일 안카메라 사이트에 올려진 사과 공지문이다.

http://www.ancamera.co.kr/home/view.html?num=ch8fGA==&cate1=LkZdQR0l

이처럼 메모리 해킹 기능의 악성파일을 제작 유포하고 있는 조직은 매우 조직적으로 국내 웹 서버를 해킹해서 정상파일을 악성파일로 교체하는 지능화된 공격기법을 활용하고 있다.

따라서 이용자들은 우선적으로 감염되어 있는 애드웨어 치료를 적극적으로 수행하여야 하며, 개인 블로그나 커뮤니티 등에서는 프로그램 다운로드를 자제하고, 반드시 신뢰할 수 있는 유명 공식사이트를 이용하는 것을 명심해야 한다. 더불어 이와 유사한 악성파일들은 esetenp.dll, kakubi.dll, kakune.dll, kakutk.dll, verslon.dll, versxon.dll, godlion.dll, kerogod.dll 등의 파일명으로 생성되고 있고, 계속해서 변종이 제작되고 있다. 

가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다. 

3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com