[아이티비즈] 팔로알토네트웍스(사장 최원식)는 자사의 보안 정보팀 ‘유닛42(Unit 42)’의 조사 결과를 인용해, 국내 온라인 뱅킹 사용자들의 금융정보탈취를 위한 악성파일 ‘KRBanker’ 활동이 급증하고 있다고 밝혔다.
팔로알토네트웍스는 자사의 보안 인텔리전스 분석 서비스 ‘오토포커스(Autofocus)’를 통해 지난해부터 ‘KRBanker’를 지속적으로 추적해 온 결과, 2016년 초반부터 감염 대상이 꾸준히 증가하여, 최근 6개월 동안 2,000여개 이상의 공격 샘플과 200여개 이상의 파밍(pharming) 서버 주소가 존재하는 것을 확인했다.
‘블랙문(Blackmoon)’이라는 이름으로 불리기도 하는 악성 파일 ‘KRBanker’는 파밍(pharming) 기술을 사용한다. 파밍은 금융 사용자의 계정정보 탈취를 위해 MiTB(Man-in-the-Browser) 공격 수법을 사용하는 온라인 뱅킹 트로이목마 Dridex 및 Vawtrak 등과 달리, 사용자가 정상적인 금융 사이트에 접속하더라도 해당 사이트가 감염된 경우, 원조 사이트와 똑같이 위조된 웹사이트로 트래픽을 리다이렉팅 시키는 기술이다.
KRBanker는 ‘KaiXin’이라고 불리는 익스플로잇 킷(EK)을 통해 설치되며, ‘NEWSPOT’이라고 불리는 악성 애드웨어를 통해 유포된다. ‘NEWSPOT’은 원래 온라인 쇼핑 사이트에서 매출 증진을 위해 사용해 온 일반적인 애드웨어였으나, 최소 2015년 11월부터는 멀웨어를 유포하는데 악용되고 있는 것으로 분석된다.
NEWSPOT이 실행되는 순간 윈도우 방화벽에서 해당 기능을 차단하는 경고를 보내지만, 대부분의 사용자들은 해당 프로세스가 합법적인 Microsoft 파일과 연관되어 있으므로 액세스를 허용한다.
현재 KRBanker는 대량의 국내 금융 기관을 대상으로 공격을 시도하고 있는 것으로 분석된다. 파밍 공격의 대상이 된 사용자가 해당 금융 기관을 방문하는 경우, 사용자는 금융 정보를 탈취하기 위한 위조 사이트로 이동하게 된다. 이 사이트는 브라우저 주소창에 유효한 URL이 표시되며, 아래 그림과 같이 원본 사이트와 유사하게 제작되어 금융 정보 탈취를 유도한다.
KRBanker는 온라인 뱅킹 정보에 접근하기 위해 NPKI 디렉터리의 인증서를 탈취하는 한편 안랩(Ahnlab) V3 보안 소프트웨어를 종료시키는 기능을 가지고 있다.
이 공격은 오래된 취약점을 보유한 익스플로잇 킷과 사용자가 직접 설치하는 애드웨어를 사용하는 만큼 더 많은 사용자들이 감염 경로를 정확히 이해하는 것이 중요하다. 팔로알토 네트웍스의 오토포커스(Autofocus) 사용자들은 ‘KRBanker’ 태그를 사용하여 해당 공격을 지속적으로 추적할 수 있다.
