해당 악성파일은 국내 특정 웹 사이트가 해킹되어서 index.html 이라는
또 다른 주식투자 관련 사이트로 접속을 연결하는 악성 iframe 코드가 포함되었고, 사이트 접속자 중 Adobe Flash Player,
Oracle JAVA 제품군의 취약점을 이용하여 취약한 버전의 사용자들이 접근할 경우 자동으로 감염이 이루어지도록 만들어져
있다.
index.html 파일은 내부에 다음과 같이 일부 난독화(분석 방해 및 탐지 우회 목적)된 자바 스크립트를 이용해서
악의적인 스크립트 코드를 실행하게 된다.
상기 스크립트 기능을 통해서 swfobject.js, jpg.js,
InMFkOx6.html(InMFkOx6.jpg/xukKgQM8.jpg) 파일 등이 연결되고 취약점에 의해서 "down_x.exe" 라는
악성파일이 설치 시도된다.
"down_x.exe" 파일은 SFX ZIP/RAR 자동압축해제 포맷으로 만들어져 있으며, 중국언어로
제작되어 있다.
"down_x.exe" 악성파일 내부에는 "ServiceInstall.exe", "WindowsDirectx.exe" 라는
2개의 악성파일이 포함되어 있으며, 악성파일이 실행되어 감염동작을 시작하면 시스템 폴더에 설치를 한다.
실행된 "WindowsDirectx.exe" 악성파일은 일본의 특정 호스트로 접속을 시도하는데, 공격자는 이미 일본의 해당
도메인(dns03.lace4989.com)을 이용해서 스크립트 암호화하는데 사용하기도 했다.
일본 호스트와 통신이 정상적으로 이루어지면 CONFIG.txt 파일의 명령에 따라서 추가적으로
5.exe 라는 악성파일이 사용자 몰래 다운로드 된다. "5.exe" 파일도 SFX ZIP/RAR 형식의 자동압축해제 방식으로 만들어져
있다.
"5.exe" 악성파일 내부에 포함되어 있는 3개의 파일은 국내 주요 인터넷 뱅킹 사용자들이 정상 사이트에 접속 시도시
호스트 파일을 변경하여 악의적인 사이트로 연결되도록 만들고, 사용자의 금융 관련 정보를 고의적으로 입력하도록 유도하는 피싱(파밍)기법을
사용한다.
"CretClient.exe", "HDSetup.exe", "CONFIG.INI" 3개의 인터넷 뱅킹용 악성파일은 윈도우
폴더 경로에 생성되며, "CONFIG.INI" 파일에 의해서 접속 서버가 설정된다.
C:\WINDOWS\system32\drivers\etc 경로의 hosts 파일을 변경하여 다음과 같이 정상 인터넷 뱅킹
도메인 사이트 접속을 중간에 변경하도록 조작한다.
호스트 파일에 의해서 각 은행 사이트의 도메인 주소가 특정 악의적인 IP주소로 연결됨에 따라
사용자가 정상적인 도메인으로 접속을 시도할 경우라도 "59.188.237.5" 라는 주소로 접속하게 되며, 실제 정상적인 금융사이트에서 제공하지
않는 허위 보안승급서비스 등으로 사용자 개인정보 입력을 요구하게 된다.
이러한 정보가 외부로 무단노출될 경우 공격자에 의해서
예금인출 사고 등으로 연결될 수 있으므로, 각별한 주의가 필요하겠다.
