안랩, 구글코드 웹페이지로 유포된 Banki 트로이목마 변형 발견!

보안 패치 설치와 함께 사용하는 보안 제품 최신 버전 유지

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)는 7월 18일 온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있음을 발견하고 주의를 당부했다.

ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었고 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다고 밝혔다.

18일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다고 ASEC측은 설명했다.

ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.

이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성되어 있다.

18일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며 aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.

C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)

그리고 생성된 WindowsDirectx.exe(180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe(413,304 바이트)를 다운로드 후 실행하게 된다.

다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.

C:\WINDOWS\HDSetup.exe (442,368 바이트)

C:\WINDOWS\CretClient.exe (720,896 바이트)

그리고 CONFIG.INI(29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며 생성된 HDSetup.exe(442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.

그러나 18일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 있다. 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar

ASEC측은 해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다고 설명했다.

그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다고 강조했다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)