최근 (주)하우리(Hauri) 보안 업체를 통해 클릭원스(ClickOnce)를 이용한 새로운 인터넷뱅킹 악성코드 유포 방식에 대한 정보가 공개되었습니다.
클릭원스(ClickOnce) 배포 방식은 웹 기반 환경에서 ActiveX 방식을 이용하여 응용 소프트웨어를 설치하도록 하는 것처럼 Microsoft .NET Framework 기반에서 응용 프로그램, 서비스 및 구성 요소를 배포하는 기술을 의미합니다.
이번에 확인된 유포 방식은 정확하게 어떤 경로를 통해 악의적으로 제작된 피싱(Phishing) 사이트로 접속이 이루어지는지 알 수는 없지만, 이메일에 포함된 링크 또는 감염된 PC 환경에서 연결될 것으로 추정됩니다.
연결된 BANKTOWN 피싱(Phishing) 사이트의 첫 화면에서는 이니텍(INITech) 업체에서 제공하는 "인터넷뱅킹 Password 암/복호화 설정 안내" 창이 생성되어 "확인" 버튼을 클릭하도록 유도하고 있습니다.
확인 버튼을 클릭하면 "안전한 암/복호화 설정을 위하여 보안프로그램 설치가 필요합니다!"라는 메시지 창이 생성됩니다.
보안 프로그램 설치 단계에서는 Internet Explorer 웹 브라우저 환경의 경우 Microsoft .NET Framework 프로그램이 설치되어 있지 않은 경우 Microsoft .NET Framework 설치가 진행된 후 공격자가 유포하는 악성 프로그램을 설치하는 구조로 되어 있습니다.
참고로 Microsoft .NET Framework는 필수 설치 프로그램은 아니지만 다양한 응용 프로그램 설치 및 사용시 반드시 설치되어야 하는 관계로 대부분의 PC에서 다양한 버전이 설치되어 있으리라 판단됩니다.
이를 통해 실제 정상적으로 설치가 진행될 경우 "응용 프로그램 시작" 화면이 표시된 후 특정 서버로부터 "ClickOnce 응용 프로그램 배포 매니페스트(.application)" 파일 형식을 가진 파일을 다운로드하여 "응용 프로그램 실행 - 보안 경고" 창 생성을 통해 실행을 유도하는 패턴이 클릭원스(ClickOnce) 유포 방식입니다.
위와 같은 클릭원스(ClickOnce) 배포 방식은 구글 크롬(Google Chrome) 웹 브라우저를 설치해 본 사용자라면 눈에 익숙할 것이며, 최종적으로 "Tmb" 이름의 응용 프로그램을 실행할 경우 감염이 이루어지게 됩니다.
그러므로 위와 같은 클릭원스(ClickOnce) 방식의 프로그램 설치시에는 최소한 신뢰할 수 있는 "게시자"가 배포하는지 잘 확인하는 습관이 필요하겠습니다.
또한 클릭원스(ClickOnce) 배포 방식에서 이용되는 "ClickOnce 응용 프로그램 배포 매니페스트(.application)" 파일은 XML 파일 유형으로 내부에는 특정 서버의 "Application Files/Tmb_1_0_0_1" 위치에 존재하는 파일을 받아와서 Tmb.exe 파일을 실행하는 구조입니다.
실제 공격자의 서버를 확인해보면 2014년 6월 16일경에 파일이 등록되어 있으며, 사용자 PC에서는 2014년 6월 16일 오전 8시경에 최초 감염이 발견된 것으로 보입니다.
이를 통해 다운로드된 악성 파일<Tmb.exe (SHA-1 : 97fa173afc9273a321a2d051851fd34a0071386c) - AhnLab V3 : Trojan/Win32.Uploader.R110384 (VT : 1/54)>은 직접 확인해보지 않았지만 감염된 PC에서 공인인증서 파일을 탈취하여 외부 서버로 전송하는 기능을 가진 것으로 추정됩니다.
다시 피싱(Phishing) 사이트를 살펴보면 보안 프로그램을 설치 유도한 후 본인 확인 단계에서 이름과 주민등록번호를 수집합니다.
유효한 주민등록번호를 입력한 경우 다음 단계에서는 "인터넷뱅킹 Password 암/복호화 설정 기본약관"을 제시하여 동의를 받도록 하고 있습니다.
다음 단계에서는 "비밀번호 암/복호화 설정" 폼을 제시하여 계좌 비밀번호, 이체 비밀번호, 인증서 비밀번호를 입력하게 유도합니다.
특히 비밀번호 입력 후 우측의 아이콘을 클릭하도록 하여 마치 입력한 비밀번호가 암호화 처리된 것처럼 화면을 변경하는 꼼꼼함을 엿볼 수 있습니다.
다음 단계에서는 "보안카드 암/복호화 설정 기본약관"을 제시하여 동의 과정을 받고 있습니다.
다음 단계에서는 "보안카드 암/복호화 설정" 폼을 제시하여 보안카드 전체를 입력하도록 유도하고 있습니다.
모든 절차가 완료된 후에는 오류창 또는 지연 처리 화면을 통해 수집된 정보를 바탕으로 계좌에서 돈을 인출 시도하는 수법으로 판단됩니다.
전체적인 유형을 봐서는 보이스피싱과 같은 전화 방식으로는 URL 주소가 매우 길다는 점에서 효과적이지 않으며, 개인정보 유출 및 보안 강화를 위한 비밀번호 및 보안카드 암호화라는 테마로 제작된 이메일을 통해 피싱(Phishing) 사이트로 접속을 유도하는 것이 아닌가 추정됩니다.
그러므로 인터넷뱅킹 서비스를 이용하는 사용자들은 이메일을 통해 전달하는 금융 사이트 접속 유도는 절대로 믿지 마시기 바라며, 어떠한 이유라도 비밀번호와 보안카드 정보를 함부로 입력하는 일이 없도록 하시기 바랍니다.
마지막으로 클릭원스(ClickOnce) 배포 방식은 Microsoft .NET Framework 설치 환경이라는 다소 제약적 요소가 있지만, ActiveX 방식이 아니라는 점에서 위와 같은 방식으로도 악성코드에 감염될 수 있다는 점을 알아두시기 바랍니다.