클릭원스(ClickOnce), 닷넷기반 클릭원스 배포방식을 이용한 인터넷뱅킹 파밍 악성코드 주의

최근 클릭원스라는 배포방식을 이용하여 인터넷뱅킹(KRBanker) 파밍 악성코드가 확인되었다.

- 클릭원스(ClickOnce) 배포방식이란?

클릭원스는 기존 웹 기반 환경에서 엑티브엑스(ActiveX) 방식처럼 웹에서 프로그램을 설치할 수 있도록 도와주는 기능이며,Microsoft .NET Framework 기반에서만 동작한다.

이미 많은 사이트 및 블로그에서 해당 내용을 다루었기 때문에 자세한 설명은 하지 않고 기록용 포스팅으로 작성한다.

□ 클릭원스(ClickOnce) 배포방식 악성코드  관련 내용

• [하우리] 새로운 악성코드 배포방식 주의

• [VirusLab] 클릭원스(ClickOnce) 배포 방식으로 사용 중인 피싱 도메인

• [울지않는 벌새] 클릭원스(ClickOnce) 배포 방식을 이용한 인터넷뱅킹 정보 수집 주의 (2014.6.26)

• [Ec0noMist] 클릭원스을 이용한 인터넷 뱅킹 타켓의 악성코드 유포 주의

※ 모든 스크린샷에 포함 된 URL은 모자이크 처리 되었음

해당 배포방식을 통해 다운로드 된 Tmb.exe 파일은 

특정 서버(http://statistical.duapp.com/api.php)로 사용자의 버전, MAC주소, 랜카드, IP주소, 컴퓨터이름 등을 전송한다

또한 감염 PC에서 공인인증서 폴더(NPKI)를 ZIP 파일로 압축하여 전송한다.

알약에서는 해당 파일을 Spyware.PWS.KRBanker.K 로 탐지하고 있다.