BlackMoon 뱅킹 트로이목마 악성코드, 한국인 16만명이상 감염돼
BlackMoon Banking Trojan Infected over 160,000 South Koreans
최근 Fortinet은 16만명 이상의 한국인들이 BlackMoon 뱅킹 트로이목마(W32/Banbra)를 악용한 공격자들로부터 뱅킹 크리덴셜을 도난당했다고 밝혔습니다.
그들은 지난 4월 해당 캠페인을 발견했으며, BlackMoon C&C 서버 중 하나의 개방형 디렉토리를 찾는데 성공했습니다. 또한 디렉토리 내부에서 감염자들의 정보에 대해 알 수 있는 로그와 데이터들을 발견할 수 있었습니다. 당시에는 전세계적으로 110,130명의 피해자들이 발견되었으며, 한국인 피해자만 108,850명인 것으로 밝혀졌습니다. BlackMoon은 다른 C&C 서버들도 악용한다는 점에서 전체 피해자들의 수는 더욱 많을 것으로 예상됩니다.
BlackMoon 캠페인은 지난 4월 대중에 공개된 이후로도 멈추지 않았습니다. Fortinet은 이후 BlackMoon의 C&C 서버를 계속 주시하며, 범죄자들의 운영 방식에 대한 데이터를 수집했습니다.
Fortinet은 2016년 5월 10일부터 2016년 7월 19일까지의 기간동안 62,659명의 새로운 피해자를 발견했으며, 이 중 61,255명이 한국 출신이었습니다. C&C서버 파일을 분석해본 결과, 범죄자들은 한국에서 61곳에 달하는 금융 기관들을 타겟으로 공격을 시도한다는 사실을 밝혀냈습니다.
BlackMoon은 2014년 처음 발견된 뱅킹 트로이목마 악성코드이며, proxy auto-config 파일(PAC)를 사용하여 사용자의 인터넷 트래픽을 하이재킹하고, 설정 파일에 저장된 URL들을 스니핑합니다. 공격이 성공하면 사용자는 실제 뱅킹 사이트가 아닌, 범죄자들이 제작한 피싱 페이지로 이동합니다. 해당 페이지에서는 사용자의 뱅킹 크리덴셜을 수집할 수 있습니다.
Fortinet이 C&C 서버를 주시했던 기간동안, 2,705개의 서로 다른 BlackMoon 샘플들과 18,969개의 피해자 IP, 20,948개의 피해자 MAC 주소들이 발견되었습니다. 그것들은 서로 다른 웹 호스팅 회사 26곳(12곳은 미국, 11곳은 중국, 4곳은 홍콩)에서 운영되는 341개의 C&C 서버와 연결되어 있었습니다.
특히, C&C 서버 내 파일들의 이름과 소스코드의 코멘트가 중국어로 되어있어, 캠페인의 진원지는 중국인 것으로 예상되고 있습니다.
<이미지 출처 : http://news.softpedia.com/news/blackmoon-banking-trojan-infected-over-160-000-south-koreans-506512.shtml>
한편, 현재 알약은 해당 트로이목마 악성코드를 Spyware.PWS.KRBanker.***, Trojan.GenericKD.****로 탐지하고 있습니다.
출처 :
https://blog.fortinet.com/2016/07/21/a-peek-into-blackmoon-s-sustained-attacks-against-south-korea
월드 오브 워크래프트: 비싼 대가를 치르게 하는 단순한 코드 한 줄 (0) | 2016.07.26 |
---|---|
SoakSoak 봇넷, Neutrino 익스플로잇 키트와 CryptXXX 랜섬웨어 배포해 (0) | 2016.07.25 |
익스플로잇 키트, 오픈 소스 공개 덕분에 익스플로잇 빨리 적용 (0) | 2016.07.21 |
메시지 한 통으로 아이폰 원격 해킹 가능... 사용자 주의! (0) | 2016.07.21 |
HTTPoxy 취약점 발견 (0) | 2016.07.20 |
댓글 영역