본문 바로가기
IT 보안소식

사이트 변조를 통해 "국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!!

by 잡다한 처리 2012. 7. 12.
반응형


보통 사이트 변조를 통해 유포되는 파일들은 온라인게임의 계정 및 패스워드를 노리는 전형적인 온라인게임 스파이웨어였다.
하지만 이번에 발견 된 악성코드는 국내 인터넷뱅킹의 개인정보를 노리는 악성코드 여서 주의가 더 필요하다.

※ 국내 보안업체 및 보안 블로그 관련자료

변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.

hxxp://www.xxx.xx.xx/bbs/fx103/index.html (Main Malware Script)

hxxp://www.xxx.xx.xx/bbs/fx103/swfobject.js (SWF Object Script)

hxxp://www.xxx.xx.xx/bbs/fx103/jpg.js (JRE & Applet Script)

hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.jpg (Java Exploit CVE-2011-3544)

hxxp://www.xxx.xx.xx/bbs/fx103/xukKgQM8.jpg (Java Exploit CVE-2012-0507)

hxxp://www.xxx.xx.xx/bbs/fx103/tsCmi5.html (XML Core Services Exploit CVE-2012-1889)

hxxp://www.xxx.xx.xx/bbs/fx103/InMFkOx6.html (XML Core Services Exploit CVE-2012-1889)

hxxp://dns03.********.com/down_x.exe (KoreaBank Spyware Malware)


최종적으로 다운로드 되는  down_x.exe 파일은 SFX(자동압축해제 포멧)으로 만들어져 있다.


ServiceInstall.exe, WindowsDirectx.exe 파일은 차후 SYSTEM32 폴더에 저장되어 설치된다.

C:\WINDOWS\system32\ServiceInstall.exe (WindowsDirectx.exe 관련 서비스 레지스트리 생성, 서비스 시작)
C:\WINDOWS\system32\WindowsDirectx.exe  (외부와 통신하여 추가적인 파일을 다운로드)



WindowsDirectx.exe는 특정서버(dns03.lace4989.com)에서 추가적인 5.exe 파일을 다운로드 받는다.
5.exe도 SFX(자동압축해제 포멧)으로 만들어져 있다.
(아마도 제작자가 이게 편했나 보다 ㅡ.ㅡ;;)


5.exe 파일이 실행되면, 아래의 경로에 악성파일이 생성된다.

C:\Windows\CretClient.exe (가짜 KB국민은행 인증서 프로그램)
C:\Windows\HDSetup.exe (Hosts 파일 수정)
C:\Windows\CONFIG.INI (변조 된 hosts 파일에 쓰여질 가짜 인터넷뱅킹 접속서버 IP)

- 가짜 KB국민은행 인증서 프로그램과 진짜 KB국민은행 인증서 프로그램의 차이


악성코드 제작자는 인증서의 정보를 가져가기 위해 이러한 노력(?)들을 하는 듯 하다.
(이제는  뭐 대놓고 통장에서 가져가겠다는 건가 ㅡ.ㅡ;; 그냥 게임머니로 만족하지!!)


최종적으로 이 파일이 하는 행위는 Hosts 파일을 변조하여, 정상 인터넷뱅킹 사이트에 접속이 아닌 변경 된 IP로 접속을 시도한다.
(분석 시 접속이 되지 않음!!)



위에서도 한번 언급했지만, 이제 짱개들이 온라인 게임의 가상머니로는 성이 안차는거 같다.
직접 뱅킹에 컨텍하려는 노력을 하는거 보니, 보안 업체에서 좀 더 빠르게 대처를 해야 할 듯 하다. 제길!! 


알약에서는 해당 악성파일을 다음과 같이 탐지한다.
- Trojan.Downloader.wdx
- Spyware.PWS.KRBanker



댓글