우리나라 사용자들을 노리던 인터넷뱅킹용 악성코드가 일본까지 공격대상을 넓혔다.
하우리(대표 김희천)는 지난 3년 간 국내에서 활동해 왔던 조직이 최근 일본 인터넷뱅킹 사용자를 대상으로 금융계정탈취를 위한 악성코드를 뿌리고 있다고 3일 밝혔다.
이 악성코드는 일본 웹사이트 내 어도비 플래시 플레이어 관련 취약점(CVE-2014-0515)을 악용했다. 여기에 감염된 사용자 PC는 일본 내 다수 인터넷뱅킹 사이트 접속 시 입력한 ID, 비밀번호 등 계정정보를 해커에게 전송한다. 또한 추가로 원격제어를 위한 악성코드를 다운로드해 감염된 PC를 좀비PC로 만든다.
해당 조직은 자신들이 개발한 기본적인 악성코드 프레임워크를 사용했는데 이번에도 같은 프레임워크가 사용됐다. 이 때문에 한국과 일본에서 활동한 악성코드 유포 조직은 같은 조직으로 추정된다. 한국을 대상으로 온라인 게임 계정 탈취 시 사용한 관련 레지스트리값, C&C 프로토콜, 악성코드 업데이트 방식 등이 동일하며, 정보탈취대상만 일본 인터넷뱅킹 관련 정보로 변경됐다.
관련기사
- 보안 솔루션 VPN, 파밍 공격에 악용2014.06.03
- 윈도XP 취약점 노린 악성파일 유포2014.06.03
- 국내 악성코드 감염자, 1분에 100명꼴2014.06.03
- 악성코드 삽입된 금융앱 주의보2014.06.03
해당 조직은 2011년 6월경부터 국내를 대상으로 주로 온라인 게임 계정 탈취 및 언론사, 포털 등 40여개 이상 기업을 대상으로 관리자 계정 탈취를 노리는 악성코드를 유포했다. 지난해부터는 파밍 기능을 추가하고, 비트코인 등 가상화폐 거래사이트 계정 정보 탈취, 좀비PC를 동원한 비트코인 채굴(마이닝)을 통해 금전적인 수익을 올리려 시도했다.
하우리 최상명 차세대보안연구센터장은 최근 국내 악성코드 유포 조직이 악성코드에 대한 대응이 빨라지면서 줄어든 수익을 만회하기 위해 일본으로 넘어가고 있는 것으로 추정된다며 국내로 다시 유입될 가능성이 있어 예의주시하고 있다고 말했다.