사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!!

보통 사이트 변조를 통해 유포되는 파일들은 온라인게임의 계정 및 패스워드를 노리는 전형적인 온라인게임 스파이웨어였다.
하지만 이번에 발견 된 악성코드는 국내 인터넷뱅킹의 개인정보를 노리는 악성코드 여서 주의가 더 필요하다.

※ 국내 보안업체 및 보안 블로그 관련자료

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 - Ahnlab

[긴급]국내 시중 은행표적용 악성파일 보안취약점과 결합 지능화 - nProtect

보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12) - Security Blog

변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.

hxxp://www.xxx.xx.xx/bbs/fx103/index.html (Main Malware Script)

hxxp://www.xxx.xx.xx/bbs/fx103/swfobject.js (SWF Object Script)

hxxp://www.xxx.xx.xx/bbs/fx103/jpg.js (JRE & Applet Script)

hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.jpg (Java Exploit CVE-2011-3544)

hxxp://www.xxx.xx.xx/bbs/fx103/xukKgQM8.jpg (Java Exploit CVE-2012-0507)

hxxp://www.xxx.xx.xx/bbs/fx103/tsCmi5.html (XML Core Services Exploit CVE-2012-1889)

hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.html (XML Core Services Exploit CVE-2012-1889)

hxxp://dns03.********.com/down_x.exe (KoreaBank Spyware Malware)

최종적으로 다운로드 되는 down_x.exe 파일은 SFX(자동압축해제 포멧)으로 만들어져 있다.

ServiceInstall.exe, WindowsDirectx.exe 파일은 차후 SYSTEM32 폴더에 저장되어 설치된다.

C:\WINDOWS\system32\ServiceInstall.exe (WindowsDirectx.exe 관련 서비스 레지스트리 생성, 서비스 시작)
C:\WINDOWS\system32\WindowsDirectx.exe (외부와 통신하여 추가적인 파일을 다운로드)

WindowsDirectx.exe는 특정서버(dns03.lace4989.com)에서 추가적인 5.exe 파일을 다운로드 받는다.
5.exe도 SFX(자동압축해제 포멧)으로 만들어져 있다.
(아마도 제작자가 이게 편했나 보다 ㅡ.ㅡ;;)

5.exe 파일이 실행되면, 아래의 경로에 악성파일이 생성된다.

C:\Windows\CretClient.exe (가짜 KB국민은행 인증서 프로그램)

C:\Windows\HDSetup.exe (Hosts 파일 수정)
C:\Windows\CONFIG.INI (변조 된 hosts 파일에 쓰여질 가짜 인터넷뱅킹 접속서버 IP)

- 가짜 KB국민은행 인증서 프로그램과 진짜 KB국민은행 인증서 프로그램의 차이

악성코드 제작자는 인증서의 정보를 가져가기 위해 이러한 노력(?)들을 하는 듯 하다.
(이제는 뭐 대놓고 통장에서 가져가겠다는 건가 ㅡ.ㅡ;; 그냥 게임머니로 만족하지!!)

최종적으로 이 파일이 하는 행위는 Hosts 파일을 변조하여, 정상 인터넷뱅킹 사이트에 접속이 아닌 변경 된 IP로 접속을 시도한다.
(분석 시 접속이 되지 않음!!)

위에서도 한번 언급했지만, 이제 짱개들이 온라인 게임의 가상머니로는 성이 안차는거 같다.
직접 뱅킹에 컨텍하려는 노력을 하는거 보니, 보안 업체에서 좀 더 빠르게 대처를 해야 할 듯 하다. 제길!!

알약에서는 해당 악성파일을 다음과 같이 탐지한다.

- Trojan.Downloader.wdx

- Spyware.PWS.KRBanker

'IT 보안소식' 카테고리의 다른 글

메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! (9)	2012.07.16
시작페이지 변경 및 바로가기를 생성시키는 Pingbacon.exe 악성코드 주의!! (0)	2012.07.13
하우리(Hauri), APT 보안솔루션 "바이로봇 APT 쉴드(ViRobot APT Shield)" 출시!! (0)	2012.07.10
주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! (6)	2012.06.30
"가짜 NH농협 인터넷뱅킹 피싱(nhkbbank.com)사이트" 를 이용한 개인정보 유출 주의 (2012-06-27) (0)	2012.06.27

처리의 블로그

사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!!

'IT 보안소식' 카테고리의 다른 글

댓글

티스토리툴바

사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!!

'IT 보안소식' 카테고리의 다른 글

관련글

댓글

티스토리툴바