BlackMoon 뱅킹 트로이목마 악성코드, 한국인 16만명이상 감염돼

BlackMoon 뱅킹 트로이목마 악성코드, 한국인 16만명이상 감염돼

BlackMoon Banking Trojan Infected over 160,000 South Koreans

최근 Fortinet은 16만명 이상의 한국인들이 BlackMoon 뱅킹 트로이목마(W32/Banbra)를 악용한 공격자들로부터 뱅킹 크리덴셜을 도난당했다고 밝혔습니다.

그들은 지난 4월 해당 캠페인을 발견했으며, BlackMoon C&C 서버 중 하나의 개방형 디렉토리를 찾는데 성공했습니다. 또한 디렉토리 내부에서 감염자들의 정보에 대해 알 수 있는 로그와 데이터들을 발견할 수 있었습니다. 당시에는 전세계적으로 110,130명의 피해자들이 발견되었으며, 한국인 피해자만 108,850명인 것으로 밝혀졌습니다. BlackMoon은 다른 C&C 서버들도 악용한다는 점에서 전체 피해자들의 수는 더욱 많을 것으로 예상됩니다.

BlackMoon 캠페인은 지난 4월 대중에 공개된 이후로도 멈추지 않았습니다. Fortinet은 이후 BlackMoon의 C&C 서버를 계속 주시하며, 범죄자들의 운영 방식에 대한 데이터를 수집했습니다.

Fortinet은 2016년 5월 10일부터 2016년 7월 19일까지의 기간동안 62,659명의 새로운 피해자를 발견했으며, 이 중 61,255명이 한국 출신이었습니다. C&C서버 파일을 분석해본 결과, 범죄자들은 한국에서 61곳에 달하는 금융 기관들을 타겟으로 공격을 시도한다는 사실을 밝혀냈습니다.

BlackMoon은 2014년 처음 발견된 뱅킹 트로이목마 악성코드이며, proxy auto-config 파일(PAC)를 사용하여 사용자의 인터넷 트래픽을 하이재킹하고, 설정 파일에 저장된 URL들을 스니핑합니다. 공격이 성공하면 사용자는 실제 뱅킹 사이트가 아닌, 범죄자들이 제작한 피싱 페이지로 이동합니다. 해당 페이지에서는 사용자의 뱅킹 크리덴셜을 수집할 수 있습니다.

Fortinet이 C&C 서버를 주시했던 기간동안, 2,705개의 서로 다른 BlackMoon 샘플들과 18,969개의 피해자 IP, 20,948개의 피해자 MAC 주소들이 발견되었습니다. 그것들은 서로 다른 웹 호스팅 회사 26곳(12곳은 미국, 11곳은 중국, 4곳은 홍콩)에서 운영되는 341개의 C&C 서버와 연결되어 있었습니다.

특히, C&C 서버 내 파일들의 이름과 소스코드의 코멘트가 중국어로 되어있어, 캠페인의 진원지는 중국인 것으로 예상되고 있습니다.

<이미지 출처 : http://news.softpedia.com/news/blackmoon-banking-trojan-infected-over-160-000-south-koreans-506512.shtml>

한편, 현재 알약은 해당 트로이목마 악성코드를 Spyware.PWS.KRBanker.***, Trojan.GenericKD.****로 탐지하고 있습니다.

 

출처 :

http://news.softpedia.com/news/blackmoon-banking-trojan-infected-over-160-000-south-koreans-506512.shtml

https://blog.fortinet.com/2016/07/21/a-peek-into-blackmoon-s-sustained-attacks-against-south-korea