온라인 뱅킹 거래 노리는 악성코드 증가

• 트랜드마이크로의 Salvio엔지니어는 온라인 은행 고객을 노리는 이모텟(Emotet)으로 알려진 악성코드가 
  전파되고 있다고 자사 블로그에 공지
• 이 악성코드는 인보이스 또는 은행 거래 공지라고 주장하는 스팸 이메일의 링크를 통해 전파되고 있음

주요내용

• 네트워크 스니핑을 통한 절도
     - 악성코드는 대상 은행에 대한 정보를 담고 있는 설정파일과 함께 시스템에 다운로드 된다. 다운로드하는 
       파일이 달라질 수 있는 점과 은행에 대한 정보도 다를 수 있음
     - 다운로드한 DLL 파일은 모든 프로세스에 대해 나가는 네트워크 트래픽을 차단 및 로깅 할 수 있으며, 
       악성코드가 브라우저에 주입되면, 이 악성 DLL은 이전에 다운로드한 설정파일을 포함한 문자열로 액세스
       위치를 비교함
     - 문자열이 일치 할 경우, 접속한 URL과 보내어진 데이터들에 의해 정보를 모은다. 이 악성코드는 웹 사이트
       전체 내용을 저장하며 이것은 어떤 데이터도 도난 되거나 저장할 수 있다는 것을 의미
     - 이모텟은 네트워크 트래픽의 모니터링을 위해서 네트워크 API에 연결하는 PR_OpenTcpSocket, PR_Write,
       PR_Close, PR_GetNameForIdentity, Closesocket, Connect, Send, and WsaSend 함수를 통해 보안 
       연결로 전송되는 데이터도 스니핑을 할 수 있음
• 레지스터리의 사용
     - 레지스터리는 이모텟의 중요한 부분으로, 다운로드한 설정 파일들은 별도의 항목에 위치한다. 그리고 도난
       당한 정보는 암호화 된 후 레지스터리에 저장됨
     - 도난당한 파일과 데이터의 레지스터리 항목 결정은 evasion으로 볼 수 있으며, 일반 사용자들은 새로운 
       파일이나 변경된 파일의 검사에 비하여, 의심스러운 레지스터리 항목은 확인 하지 않음
     - 트랜드마이크로에서는 수집된 데이터를 네트워크를 통해 어떻게 보내는지 조사 중
• 주의 사항
     - 이모텟 감염은 독일과 함께 유럽, 중동, 아프리카 지역에 집중, 모든 독일 은행이 타겟인 것으로 알려져 
       있으며, 아시아와 북미등 포함 되지 않은 다른 지역들도 충분히 일어날 수 있음
     - 이모텟 스팸 메시지가 도착되면 링크를 클릭하지 않거나 파일을 다운로드 하지 않는 것이 좋으며 은행 
       거래에 대한 경우 진행하기 전에 해당 금융기관에 직접 문의하여 확인 하는 것을 권고

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/new-banking-malware-uses-network-sniffing-for-data-theft/