잉카인터넷 시큐리티대응센터 블로그

1. SMS 단축URL과 안드로이드 악성앱 이용한 공공의 적 그동안 ▲구글코리아 ▲카카오 업데이트 ▲V3모바일 ▲복지알림이 ▲알약모바일 ▲발렌타인데이 제과점 및 외식업체 쿠폰 등 다양한 이벤트 형태로 사칭한 한국 맞춤형 모바일 DDoS 및 소액결제 과금 유발형 안드로이드 악성앱들에 대한 공격사례를 업계 최초로 여러차례 공개한 바 있다. 그에 따라 관계기업이나 기관, 언론 등을 통해서 다수의 주의보가 발령되기도 하였다. 특히, 잉카인터넷 대응팀은 보안 사각지대에 놓여 있던 안드로이드 보안위협에 대한 다양한 실체와 현상을 신속히 진단하고 사회적 문제로 대두되고 있는 현실을 구체적 사례 기반의 정보로 꾸준히 알리고 있는 선봉장 역할을 수행하고 있다. 이런 가운데 연말정산 환급금 신청기간과 즈음하여 납세자 연맹..

1. 하데스라는 특정 도메인에서 국내 인터넷 뱅킹용 악성파일 유포잉카인터넷 대응팀은 2012년 05월 경부터 인기리에 방송됐던 SBS 드라마 "유령"의 주인공 역이었던 하데스(Hades)의 이름을 딴 특정 도메인에서 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 유포 중인 것을 발견했다. "유령"은 컴퓨터 범죄 수사대의 애환과 활약을 그렸던 드라마로 사이버상의 보안위협을 사실적으로 묘사하였고, 0 과 1 사이에 숨겨져 있는 다양한 디지털 증거의 중요성과 각종 사이버 범죄의 위험성을 알리는데 긍정적 효과를 거두었다. 그러나 국내 인터넷 뱅킹용 악성파일 유포 조직이 하데스라는 이름의 도메인에서 실제 위협요소로 작용할 수 있는 악성파일을 유포하고 있다는 점에서 이용자 주의가 필요하고, 유사한 도메인을 ..

1. 공인인증서 유출로 인한 피해 주의 잉카인터넷 대응팀은 2013년 02월 01일 해외의 특정 FTP 서버로 국내 이용자들의 공인인증서(NPKI)파일이 다량으로 유출된 정황을 포착하였다. 해당 악성파일(KRBanker)은 국내 IP주소로 할당되어 있는 곳에서 유포되었는데, 도메인은 2013년 1월 21일 중국인으로 추정되는 명의로 생성된 곳이다. 또한, 악성파일은 2013년 01월 25일 잉카인터넷 대응팀을 통해서 공개된 바 있는KRBanker 변종형태로 실제 공인인증서 창의 클래스명(QWidget)을 감시하고 있다가 공인인증서가 활성화되면 조작된 가짜 입력화면을 교묘히 겹쳐서 입력되는 비밀번호를 탈취하게 된다. 기존의 정상적인 전자서명 화면을 이용하고 있다는 점에서 각별한 주의가 필요하다. 특히, 전..

1. 공인인증서 암호를 직접 겨냥한 KRBanker 변종 등장국내 인터넷 뱅킹용 이용자들을 노린 악성파일(KRBanker) 변종이 거의 매일 새롭게 발견되고 있는 가운데, 최근 기존과 다른 형태의 악성파일 유형이 발견되었다. 지금까지 발견된 다양한 형태 중 대다수는 호스트파일(hosts)의 내용을 변경하여 정상적인 금융사이트 주소로 접속을 하더라도 피싱사이트로 연결되도록 조작하는 방식이 주로 이용되고 있다. 그외에 호스트파일(hosts)을 변경하지 않고 악성파일이 사용자의 인터넷 접속 사이트를 모니터링하다가 특정 금융사이트 주소에 접근시 피싱사이트로 웹 페이지를 교묘하게 바꿔치기 하는 수법 등이 존재한다. 이러한 방식은 모두 공통적으로 가짜로 만들어진 공인인증서 전자서명 로그인 화면을 보여주어 사용자가 ..

1. 무료쿠폰, 할인 이벤트 사칭한 단축 URL 클릭 주의보 안드로이드 기반의 국내 스마트 폰 이용자를 노린 소액결제 피해가 급격히 증가하고 있어 사용자들의 각별한 주의가 요구된다. 잉카인터넷 대응팀은 2012년 11월부터 안드로이드 기반의 악성파일(KRSpammer)을 마치 정상적인 앱처럼 위장하여 스마트폰 이용자를 유혹한 후, 단말기에 설치를 유도하고 감염시켜 소액결제 승인문자 메시지(SMS)를 몰래 가로채기하는 방식으로 약 10~30만원 상당의 휴대폰 결제피해를 입히고 있는 악성파일을 지속적으로 발견하고 있는 실정이다. 현재까지 약 20 여종 이상의 변종이 발견되었으며, 새로운 변종이 꾸준히 제작되고 있는 상황이다. 요 며칠 사이 변형된 공격이 끊임없이 발생하고 있으므로, 문자메시지로 수신된 단축 ..

1. 보안 프로그램처럼 변장한 KRBanker잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자를 겨냥한 피싱용 악성파일(KRBanker) 변종이 마치 안랩(ahnlab) 파일처럼 위장하여 전파 중인 사례를 몇 차례 발견하였다. 해당 악성파일은 종전과 동일하게 인터넷 뱅킹 이용자를 노려 사용자 컴퓨터의 호스트파일(hosts)을 변조하여 정상적인 금융 사이트로 접속을 시도하더라도 피싱 사이트로 연결되도록 하는 기능을 수행한다. 금번 발견된 악성파일의 주요 특징은 윈도우 임시폴더(Temp)에 "ahnlab.exe", "ahnlab.ini" 파일명으로 등록하여, 이용자로 하여금 육안상 정상적인 안랩 보안 모듈처럼 보이도록 사칭한 점이다. 이처럼 전자금융사기용 악성파일이 거의 매일 새로운 형태로 양산되고 있고, 불특정..

1. 보안관련 인증절차와 금융 보안프로그램으로 사칭한 KRBanker잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 노린 악성파일(KRBanker) 변종이 새로운 형태의 내용으로 전자금융 서비스 이용자들을 현혹시키고 있는 정황을 포착하였다. 악성파일은 국내 특정 웹 사이트를 해킹하여 보안이 취약한 접속자로 하여금 웹 사이트 접속만으로 악성파일(KRBanker)에 은밀히 감염되도록 만들어 두었다. 악성파일에 노출되어 감염이 이뤄지면, 사용자 컴퓨터에 존재하는 호스트파일(hosts)을 변조하여 시티은행, 하나은행, 기업은행, 국민은행, 외환은행, 농협, 신한은행, 수협, 스탠다드차타드, 우리은행 등의 도메인 접속 주소를 특정 피싱 IP주소로 몰래 변경시킨다. 이로인해 사용자가 정상적인 금융사 홈페..

1. 인터넷 익스플로러 Zero-Day 취약점 주의 마이크로 소프트(Microsoft)사에서 개발한 웹 브라우저 인터넷 익스플로러(Internet Explorer)의 몇몇 버전에서 2013년 01월 04일 현재 보안취약점이 해결되지 않은 Zero-Day 취약점(CVE-2012-4792)을 이용한 공격이 증가하고 있다. 해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹되었다는 소식을 통해서 처음 알려졌다. 이번 취약점은 아직 마이크로 소프트사를 통해서 공식적인 보안업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이므로, 인터넷 익스플로러 이용자들의 각별한 주의가 필요하다. 해당 Zero-Da..

1. 개 요 최근 지속적으로 새로운 변종에 대한 출현으로 이슈가 되고 있는 KRBanker가 이번에는 애플 아이콘으로 위장한 변종이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 2012년 12월 7일은 애플의 새로운 스마트폰 아이폰5 제품의 국내 출시일이며, 해당 악성파일 제작자는 이를 이용해 사회공학적 기법을 통한 악성파일의 유포를 시도하고 있다는 것이 이번에 발견된 KRBanker 변종에서 주목 할 만한 점이라 할 수 있다. [주의]KRBanker 변종 시티은행 피싱 목록 추가! ☞ http://erteam.nprotect.com/365 [긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹 ☞ http://erteam.nprotect.com/347 [정보]보안승급 사칭 전자금융사..

1. 승인문자 가로채기를 통한 똑똑한(?) 스마트폰 범죄 지난 2012년 10월 26일 KRSpammer 악성앱이 마치 방송통신위원회에서 배포하는 통신사 합동 스팸문자, 피싱차단 프로그램처럼 위장하여 배포된 사실이 스마트폰 정보보호 민관합동 대응반을 통해서 그 실체가 처음으로 확인된 바 있다. 잉카인터넷 대응팀을 포함해서 실무위원으로 포함된 국내 다수의 (보안)업체들은 방송통신위원회와 한국인터넷진흥원(KISA)이 운영하는 스마트폰 정보보호 민관합동 대응반과 협력하여 신속한 대응과 후속조치 등을 진행한 바 있다. 그 후 잉카인터넷 대응팀은 국내 안드로이드 기반의 스마트폰 이용자들만 특별히 정조준한 이번 악성앱(KRSpammer) 변종들이 지속적으로 유포되고 있다는 주의보와 함께 정황근거를 기반으로 주요내용..