5억명이 사용하는 AVAST 안티바이러스 백신 자세히보기

새로운 소식

국민은행 등 국내 주요 은행들 해킹한 가짜 사이트 주의

어베스트코리아 2013. 3. 19. 17:44

본 사례 내용은 2013년 3월 20일 발생한 사건과는 무관합니다 

----------------------------------------------------------------------------------

한국소프트웨어저작권 협회(http://www.spc.or.kr)를 경유하여 한국의 여러 주요 은행들을 공격한 해킹공격 사례가 발견되어 주의가 필요합니다.


한국소프트웨어저작권 협회 사이트는 한국의 소프트웨어 저작권협회의 공식 웹사이트입니다. 이 사이트에 접속하면 아래의 소스코드를 볼 수 있습니다. 이 소스코드의 자바스크립트 /js/common1.js에서는 한국내 은행들을 공격하는 사이트로 유인하는 2개의 자바스크립트 코드가 포함되어 있습니다. 이들 스크립트를 열면 /js/screen1.js 끝에 수상한 iframe 태그가 있습니다. 이 iframe 태그는 사용자를 메인 공격 사이트인 rootadmina2012.com로 유도하게 됩니다.










rootadmin2012.com의 원래 사이트는 다음과 같은 3줄의 코드를 포함합니다.




처음 두 항목은 heapspray와 쉘코드를 포함하고 있고 나머지 스크립트 태그는 메인 공격 페이지에 얼마나 많이 공격을 했는지에 대한 사이버범죄의 공격횟수를 기록합니다.


1.html의 간단한 분석을 해보면 "shellcode"의 흥미로운 이름을 가진 변수를 볼 수 있습니다.




이 사이트에서 공격하는 한국의 주요 은행 목록은 아래와 같습니다:




이곳을 통해 내려 받은 맬웨어는 host 파일을 감염시키고 윈도우 시스템 파일과 인터넷익스플로러를 감염시켜 여러분이 사용하는 인터넷 뱅킹(은행사이트)에 접속하면 일본에 위치한 공격자의 서버로 이동시켜 개인의 은행계좌 및 비밀번호 정보들을 훔쳐가게 됩니다. 최근 파밍이라는 용어가 인터넷뱅킹에서 엄청난 위협이 된다고 언론에 집중 조명되 사용자 들의 관심을 얻어 많이들 알고 있는 단어가 되었습니다만, 이런 공격은 이제 합법적인 웹사이트를 해킹하여 여러분의 PC를 감염시키기 때문에 사용자의 주의가 극도로 필요합니다.


정상적인 국민은행은 https://www.kbstar.com으로 접속되지만 해킹된 PC에서는 hosts 파일이 해킹되어 암호화되지 않은 해킹 사이트로 리디렉션하게 됩니다.


아래 이미지는 원래의 국민은행 사이트입니다



두 번째 이미지는 파밍 사이트로 리디렉션된 해킹 사이트입니다. 거의 국민은행 사이트와 동일하게 위조되었습니다.



가짜 국민은행 사이트에 접속 후 개인정보는 아래 이미지와 같이 유출합니다.




더 자세한 사항은 어베스트 영문 블로그인 https://blog.avast.com/2013/03/19/analysis-of-chinese-attack-against-korean-banks/#more-12774 를 참조하시면 됩니다


본 사이트는 현재 해당 스크립트는 제거한 상태이며 채종빈 님께 감사드립니다.