뉴스 보안
팔로알토네트웍스, 금융정보 탈취 '파밍 악성파일 KRBanker' 활동 급증
남일희 기자  |  sun@cdnews.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2016.05.11  09:35:13
트위터 페이스북 미투데이 싸이월드 공감 네이버 구글 msn

[통신일보 = 남일희 기자]   팔로알토네트웍스(사장 최원식, paloaltonetworks.com)가 보안 정보팀 ‘유닛42(Unit 42)’의 조사 결과를 인용, 국내 온라인뱅킹 사용자들의 금융정보를 탈취하려는 악성파일 ‘KRBanker’ 활동이 급증하고 있다고 밝혔다.

팔로알토 네트웍스는 보안 인텔리전스 분석 서비스 ‘오토포커스(Autofocus)’를 통해 지난해부터 ‘KRBanker’를 지속적으로 추적해 온 결과, 2016년 초반부터 감염 대상이 꾸준히 증가하여, 최근 6개월 동안 2,000여개 이상의 공격 샘플과 200여개 이상의 파밍(pharming) 서버 주소가 존재하는 것을 확인했다.
 

 
 
 

‘블랙문(Blackmoon)’이라는 이름으로 불리기도 하는 악성 파일 ‘KRBanker’는 파밍(pharming) 기술을 사용한다. 파밍이란, 금융 사용자의 계정정보 탈취를 위해 MiTB(Man-in-the-Browser) 공격 수법을 사용하는 온라인 뱅킹 트로이목마 Dridex 및 Vawtrak 등과 달리, 사용자가 정상적인 금융 사이트에 접속하더라도 해당 사이트가 감염된 경우, 원조 사이트와 똑같이 위조된 웹사이트로 트래픽을 리다이렉팅시키는 기술을 의미한다.

KRBanker는 ‘KaiXin’이라고 불리는 익스플로잇 킷(EK)을 통해 설치되며, ‘NEWSPOT’이라고 불리는 악성 애드웨어를 통해 유포된다. ‘NEWSPOT’은 원래 온라인 쇼핑 사이트에서 매출 증진을 위해 사용해 온 일반적인 애드웨어였으나, 최소 2015년 11월부터는 멀웨어를 유포하는데 악용되고 있는 것으로 분석된다.

NEWSPOT이 실행되는 순간 Windows 방화벽에서 해당 기능을 차단하는 경고를 보내지만, 대부분의 사용자들은 해당 프로세스가 합법적인 Microsoft 파일과 연관되어 있으므로 액세스를 허용한다.
 

 
 
 

현재 KRBanker는 대량의 국내 금융 기관을 대상으로 공격을 시도하고 있는 것으로 분석된다. 파밍 공격의 대상이 된 사용자가 해당 금융 기관을 방문하는 경우, 사용자는 금융 정보를 탈취하기 위한 위조 사이트로 이동하게 된다. 이 사이트는 브라우저 주소창에 유효한 URL이 표시되며, 아래 그림과 같이 원본 사이트와 유사하게 제작되어 금융 정보 탈취를 유도한다.

KRBanker는 온라인 뱅킹 정보에 접근하기 위해 NPKI 디렉터리의 인증서를 탈취하는 한편 안랩(Ahnlab) V3 보안 소프트웨어를 종료시키는 기능을 가지고 있다.

이 공격은 오래된 취약점을 보유한 익스플로잇 킷과 사용자가 직접 설치하는 애드웨어를 사용하는 만큼 더 많은 사용자들이 감염 경로를 정확히 이해하는 것이 중요하다. 팔로알토 네트웍스의 오토포커스(Autofocus) 사용자들은 ‘KRBanker’ 태그를 사용하여 해당 공격을 지속적으로 추적할 수 있다.

[통신일보 = 남일희 기자 / sun@cdnews.co.kr]

     관련기사
· 안랩 V3 모바일, 입소문 타고 인기 상승 "누적 다운 70만건 돌파"
· 안랩 엔드포인트 플랫폼 사업부, 공식 페북 오픈..."고객과 소통 확대"
· 게이트맨, 마스터 비밀번호 악용..."안전한 사용법 대안 5選 제안"
· KISA, 클라우드 보안인증제 내달 첫 시행...'사전참여' 모집
· 안랩 V3모바일, AV-TEST 글로벌 인증 20회 연속 획득
남일희 기자의 다른기사 보기  
기사제보 및 보도자료[news@cdnews.co.kr]
저작권자 ⓒ통신일보 | 무단전재 및 재배포금지 | 저작권 문의

알면 돈되는 새 제도
통신일보 2030뉴스 사이트맵
  • 쇼핑
    IT·생활가전
    웰빙·뷰티
    생활·사무용품
통신제국 | 회사소개기사제보제휴문의이용약관개인정보취급방침청소년보호정책이메일무단수집거부
제호 통신일보 · 발행인-편집인 이영림 · 등록번호 서울-아00840 · 등록-발행일 2009년 4월 17일 · 본사 서울특별시 서대문구 북아현로 25길 5, 501호
취재본부 경기도 과천시 별양상가1로 18, 과천오피스텔 916호 · 대표전화 02-3447-6100 · 사업자:123-22-49273 · 청소년보호책임자 남일희
통신일보의 모든 기사와 컨텐츠는 저작권법의 보호를 받습니다. 무단 전제, 복사, 배포 등을 금지합니다.
통신제국 Copyright All rights reserved.