금융 정보 가로채는 악성코드 Citadel ‘경보’

2013.01.03

 

전 세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스(Zeus)와 스파이아이(Spyeye)의 뒤를 잇는 강력한 악성코드가 발견돼 주의가 요구된다.
 
안랩은 최근 강력한 기능의 금융정보 탈취형 악성코드인 시타델(Citadel) 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.
 
시타델은 ‘시타델 빌더’라고 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다.
 
제우스 빌더’가 더 이상 업데이트되지 않고 소스 코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드다.
 
안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보이고 있다. 
 
이에 따라 악성코드에 감염된 PC의 네트워크인 봇넷(Botnet)을 구성하기 위한 기능을 기본으로 지니고 있다. 
 
이와 더불어 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS(소셜네트워크서비스) 개인정보 등 다양한 데이터를 탈취하는 기능도 가지고 있다.

 

 

 

또 공격자용 서버인 C&C 서버로부터 허위백신 등을 추가로 내려 받아 감염된 PC 사용자에게 직접 금전을 요구하기도 한다.
 
반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화됐다.
 
제우스의 경우 뱅킹 인증 정보를 훔치기 전에 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송했다. 
 
반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT(Advanced Persistent Threat)까지 고려한 정보수집을 시도했다. 
 
예컨대 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집하는 것이다.

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다.
 
이 곳에선 악성코드를 생성하는 빌더와 관리자용 패널을 판매하는 동시에, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.
 

 

이호웅 안랩 시큐리티대응센터 센터장은 "최근 악성코드는 대부분 금전적인 목적으로 제작되고 있다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다"며 "사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하다”고 말했다.

 

 

한편 안랩에서는 온라인 거래 보안 솔루션인 AOS(AhnLab Online Security)를 통해 시타델, 스파이아이, 제우스와 같은 고도화한 타깃형 악성코드에 특화 설계된 보안 플랫폼을 제공하고 있다.Ahn