제목 | 한국 맞춤형 악성코드 KRBanker, 국내 재 유포 | ||||
---|---|---|---|---|---|
작성자 | 정보통신팀 | 등록일 | 2018-10-23 | 조회 | 4485 |
첨부 | |||||
□ 한국 맞춤형 악성코드 KRBanker, 국내 재 유포 최근 국내 유명 사이버 학습원에서 KRBanker 악성코드 유포가 확인 되었다. 해당 악성코드가 유포된 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 사용자를 악성 URL로 연결시키는 방식을 사용한다
[그림1] 해당 사이트에 삽입된 악성 스크립트 코드화면
‘이스트 시큐리티’에 따르면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가 발견되었으며 특정 익스플로잇 킷 공격도구로 만들어진 사이트로 확인 되었으며 해당 사이트는 총 7개의 취약점 공격을 내포하고 있는 것으로 식별 되었다. 특이점은 이번에 발견 된 것과 같이 Drive By Download를 통한 KRBanker 악성코드는 최근 모습을 감추었던 악성코드라는 점이며 취약 사용자가 접속 할 경우 다운로드 및 실행되는 악성코드는 호스트 파일 변조를 통한 파밍 방식과 달리 로컬에 Proxy 서버를 구축하여 C2 서버로 웹페이지를 포워딩 하는 방식을 사용한다는 점이다.
[그림2] 감염 시스템에서 보여지는 파밍 사이트 화면
현재 교내 알약백신에서는 관련 악성코드를 ‘Spyware.Krbanker.Gen’ 으로 진단 가능하기 때문에 이러한 악성코드에 감염되지 않기 위해서는 사용자가 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하도록 해야 한다.
|