국내 인터넷뱅킹용 악성파일(KRBanker)을 제작해 유포 중인 금융 사이버범죄 조직들의 활동을 지속적으로 추적관제 해 온 결과, 9월 12일 국내 다수의 웹 사이트를 해킹해 원격제어(Remote Control) 기능을 탑재한 악성파일을 추가로 배포 중인 정황이 포착됐다.
 
잉카인터넷 관계자는 “해당 사이버범죄 조직들은 지속적으로 국내 인터넷뱅킹 사용자들을 주요 표적으로 원격제어와 피싱(파밍) 기능의 악성파일 변종을 끊임없이 제작해 유포하고 있다”며 “이번에 새롭게 변경된 서버에는 실제 인터넷뱅킹용 악성파일이 다수 존재하지만 아직 직접적인 배포는 시작하지 않고 있고 원격제어 기능을 가진 Gh0st RAT(Remote Administration Tool) 변종을 사용해 감염된 사용자들의 정보수집 및 원격제어를 시도하고 있다. 공격자들은 초기부터 KRBanker 종류와 Backdoor 기능의 악성파일을 복합적으로 사용하고 있다”고 밝히고 주의를 당부했다.  
 
잉카인터넷에서 악성파일 유포 조직을 모니터링 한 결과는 아래와 같다.
 
현재 악성파일은 해킹된 국내 다수의 웹 사이트에 IFRAME 코드가 삽입된 형태로 로딩되며, 난독화된 JSXX 0.44 VIP 악성 스크립트(index.html)를 링크하여 실행되도록 만든다.
 
연결되어 있는 악성 index.html 파일은 다시 JAVA 프로그램의 보안취약점인 CVE-2012-1723 Exploit 코드를 이용하여 사용자 컴퓨터에 악성파일 설치를 시도한다.
 
보안취약점이 정상적으로 작동되면 사용자 컴퓨터에 "abcdef.exe"라는 이름의 악성파일이 사용자 몰래 설치되고 실행된다. 악성파일이 실행되면 시스템폴더에 "bits.dll" 이름의 악성파일이 숨김속성으로 설치된다.
 
"bits.dll" 파일은 svchost.exe 프로세스에 [Background Intelligent Transfer Service] 이름으로 등록되며, 서비스 이름은 BITS 이다.
 
서비스가 정상적으로 동작하게 되면 IP주소 199.188.105.75 호스트로 접속을 시도하며, 공격자의 추가적인 명령을 대기하게 된다. 해당 악성파일은 중국에서 개발되어 소스코드가 공개되어 있는 Gh0st RAT 종류로 다양한 원격제어 기능을 수행할 수 있다.
 
공격자는 서버관리 프로그램을 통해서 악성파일에 감염된 좀비PC들을 원격으로 제어할 수 있는 권한을 획득하게 된다.
 
대표적으로 File Manager (파일 관리자)기능을 통해서 감염된 사용자의 각 드라이브를 검색해 볼 수도 있으며 그외 실시간 스크린캡처, 키로깅, 리모트 쉘 명령, 시스템 프로세스 체크, 웹캠 감시, 오디오 저장, 컴퓨터 종료/재시작, 추가 악성파일 다운로드 등 일반 컴퓨터 사용자가 수행할 수 있는 거의 모든 명령을 공격자가 진행할 수 있다.
 
잉카인터넷 대응팀 관계자는 “국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다”며 “새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화해 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한 웹사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”고 설명했다.
 
또 “이런 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com