본문 바로가기

벌새::Analysis

특정인을 표적으로 한 보이스피싱에 사용된 백도어(Backdoor) 주의 (2015.5.29)

반응형

최근 특정인을 대상으로 보이스피싱 전화를 통해 가짜 서울동부지방검찰청(※ 공식 사이트 : spo.go.kr/eastseoul) 웹 사이트로 접속을 유도하는 방식으로 악성 프로그램 설치를 통해 금융 정보를 탈취하는 것으로 추정되는 사례가 확인되었습니다.

 

사이트 정보를 제공해주신 Ec0nomist님에게 감사드리며 작성된 내용을 함께 참고하시기 바랍니다.

참잘했어요

추정되는 사건을 재구성해보면 보이스피싱 사기범이 특정인에게 전화를 통해 검찰 직원 또는 검사로 자신을 속여 사건과 관련하여 서울동부지방검찰청 피싱(Phishing) 사이트로 접속을 유도하였을 것으로 보입니다.

웹 사이트에 접속한 피해자에게 "나의 사건 조회" 메뉴를 클릭하도록 유도하여 사건 정보를 확인할 수 있다고 하였을 것입니다.

연결된 웹 사이트는 가짜 형사사법포털 사이트에서 배포하는 "TouchEn Key Keyboard Protector" 키보드 보안 솔루션으로 위장한 악성 프로그램을 설치해야지 사건 공문을 확인할 수 있다고 피해자를 속였을 것으로 추정됩니다.

참고로 공식 형사사법포털 사이트(kics.go.kr)를 이용하기 위해서는 3종의 보안 솔루션<CKKeyPro(키보드 보안), CKWebPro(웹페이지 보안), XecureWeb(웹구간 암호화)>을 설치해야 한다는 점에서 피해자는 쉽게 속을 수 있습니다.

이를 통해 피해자는 가짜 형사사법포털 사이트에서 배포하는 TouchEnkey.zip 압축 파일을 다운로드하여 내부에 존재하는 다음과 같은 파일을 실행할 수 있습니다.

TouchEnkey.zip 압축 파일 내에는 2015년 5월 15일경 압축된 TouchEnkey.exe 악성 파일<SHA-1 : 409332146a2a90b1b5232ec50f51ea2131f77616 - AhnLab V3 : Backdoor/Win32.Zegost, 알약(ALYac) : Spyware.PWS.KRBanker.I (VT : 42/57)>이 포함되어 있으며, 공식 형사사법포털에서 배포하는 "RaonSecure Co., Ltd." 디지털 서명이 포함된 "TouchEn Key Keyboard Protector" 키보드 보안 솔루션과 아이콘이 동일하여 쉽게 속을 수 있습니다.

사용자가 TouchEnkey.exe 악성 파일을 실행하면 "TouchEn Key 설치가 성공적으로 완료되었습니다."라는 가짜 메시지 창이 생성되며, 실제로는 TouchEnkey.exe 악성 파일 단독으로 실행되어 다음과 같은 악의적인 기능을 수행하게 됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - XXX = C:\Windows\AC60210E.exe

실행된 TouchEnkey.exe 악성 파일은 생성(존재)되지 않는 XXX 시작 프로그램 등록값을 체크합니다.

이후 TouchEnkey.exe 악성 파일은 "103.249.28.6:8080" C&C 서버와 지속적으로 통신을 유지합니다.

  • fss.or.kr (금융감독원)
  • busanbank.com <부산은행(busanbank.co.kr) 도메인 표기 실수>
  • suhyup-bank.com (수협은행)
  • knbank.co.kr (경남은행)
  • kdb.co.kr (산업은행)
  • dgb.co.kr (대구은행)
  • scfirstbank.com (스탠다드차타드)
  • citibank.co.kr (한국 씨티은행)
  • epost.go.kr (우체국)
  • kfcc.co.kr (새마을금고)
  • keb.co.kr (외환은행)
  • hanabank.com (하나은행)
  • wooribank.com (우리은행)
  • ibk.co.kr (기업은행)
  • shinhan.com (신한은행)
  • nonghyup.com (농협)
  • kbstar.com (국민은행)

보이스피싱 사기범은 사건과 관련된 피해자 계좌와 관련한 어떠한 조치를 요구할 것이며, 피해자는 통화 중(후) 인터넷뱅킹을 위해 은행 사이트 접속시 다음과 같은 정보를 모니터링하여 실시간으로 개인/금융 정보를 외부로 유출할 수 있습니다.

  • OTP 번호
  • OTP 일회용 이체번호
  • 보안카드 번호
  • 인증번호
  • 휴대폰 번호
  • 이체 비밀번호
  • 계좌 비밀번호
  • 인증서 비밀번호

위와 같은 개인/금융 정보를 전화상으로 전달하지 않아도 피해자가 인터넷뱅킹을 이용하는 과정에서 수집되어 유출될 수 있습니다.

또한 피싱(Phishing) 사이트에서 발견된 추가적인 오류 메시지 창이 존재하며, 해당 오류창은 사건 조회 전/후 또는 제공된 악성 프로그램 설치 이후에 표시되어 피해자를 속이는 것이 아닐까 추정됩니다.

 

위와 같은 보이스피싱 과정에서 보안 솔루션으로 위장한 악성 프로그램 설치를 통해 더욱 쉽게 금융 정보를 수집할 수 있다는 점을 명심하시기 바라며, 검찰을 사칭한 전화를 통해 웹 사이트 접속 및 프로그램 설치를 유도할 경우에는 사기로 의심하시고 진행하지 않도록 하시기 바랍니다.

 

728x90
반응형