BC카드 2010년 06월 청구서로 위장한 국내 DDoS 공격 주의 (2010.6.23)

국내 인터넷 사용자를 대상으로 BC카드 2010년 06월 청구서로 위장한 이메일을 발송하여 해당 청구서를 열 경우 [KProtect 키보드 보안 프로그램] 관련 ActiveX 설치를 통해 DDoS 공격을 위한 시스템 감염이 발생하고 있으므로 주의하시기 바랍니다.

• <인터넷과 보안 블로그> 네이버 DDoS 공격 의심 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의

알려진 정보에 의하면 BC카드 업체에서 발송한 것이 아닌 네이버(Naver) 일반 계정에서 발송한 형태로 구성된 BC카드 청구서 이메일로 위장하여 이메일에 첨부된 명세서를 볼 경우 다음과 같은 ActiveX 설치를 유도하고 있습니다.

일반적으로 정상적인 이메일 청구서를 사용자가 열었을 경우 볼 수 있는 보안 프로그램과 동일하게 제작된 해당 소프트웨어는 [I-Wibiz Inc] 게시작가 배포하는 [KProtect 키보드 보안 프로그램]으로 위장하여 설치를 유도하고 있습니다.

[KProtect 키보드 보안 프로그램 ActiveX 차단 정보]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{93C0C21C-1796-4285-9CC1-C8F5CED8E67A}]
"Compatibility Flags"=dword:00000400
"PCInfo"="KProtect 키보드 보안 프로그램"

※ 해당 ActiveX 차단을 위해서는 상기 내용을 메모장에 복사하여 [다른 이름 저장 - 파일 형식(모든 파일) - 임의의 저장명.reg] 파일로 저장하여 실행하시기 바랍니다.

해당 ActiveX 디지털 서명을 확인해 보면 유효하다고 표시되고 있지만, 서명 시간과 연대 서명이 빠진 형태로 위조된 형태로 추정됩니다.

[악성코드 유포 경로]

h**p://mail.*****.co.kr/******/secure.htm
 - h**p://mail.*****.co.kr/******/BA10.cab
  -> h**p://mail.*****.co.kr/******/BA10.exe
  -> h**p://mail.*****.co.kr/******/BA10.dll

사용자가 ActiveX 설치를 시도할 경우 61.***.5.*** 서버에서 BA10.Cab 파일을 불러와 다음과 같은 파일들을 설치하고 있습니다.

C:\WINDOWS\Downloaded Program Files\KShowAtx.dll
C:\WINDOWS\Downloaded Program Files\KShowAtx.inf
C:\WINDOWS\Downloaded Program Files\atl90.dll

이렇게 생성된 컨트롤러는 추가적으로 해당 유포 서버로부터 BA10.exe / BA10.dll 파일에 대해 다운로드를 시도하여 시스템을 좀비PC로 구성하는 것으로 알려져 있습니다.

BA10.exe(MD5 : 40bb9a9a254b02c33be804999ad51ce2) 파일은 VirusTotal 기준으로 6월 22일 처음 등록될 당시 Kaspersky 보안 제품에서만 Heur.Trojan.Generic 진단명으로 진단되고 있었으며, BA10.dll(MD5 : 90443b1b573b0a9a84fa970d44467cb9) 파일은 VirusTotal 기준으로 6월 8일 첫 등록이 되었으며 당시에는 어떤 보안 제품에서도 진단되지 않았던 것으로 보입니다.

현재 해당 ActiveX 설치를 통해 다운로드되는 파일들에 대해서 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명으로 사전 차단이 이루어지고 있으며, 국내 보안 업체에서 긴급 대응하고 있는 것으로 생각됩니다.

참고로 V3 보안 제품을 사용하시는 분들은  환경 설정의 Smart Defense 설정 진단 수준을 [높음]으로 변경하시고 이용하시길 권장합니다.(기본값의 경우 진단되지 않을 수 있으리라 생각됩니다.) 

인터넷 사용자들은 이메일을 통해 수신된 이메일 청구서를 확인할 경우에는 발신자, 기존에 수신된 청구서 제목 등을 추가적으로 확인하시고 실행하시기 바라며, ActiveX 창이 생성될 경우 기본적으로 게시자 항목을 클릭하여 디지털 서명을 확인하는 습관을 가지시기 바랍니다.

만약 이번 청구서를 실행한 기억이 있으신 분들은 국내 보안 제품을 이용하여 시스템 정밀 검사를 해 보시기 바라며, 해당 악성코드에 감염된 경우 네이버를 비롯한 국내 사이트 DDoS 공격에 이용하는 형태로 이용되고 있으므로 보안 업체의 도움을 받으시기 바랍니다.