사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)ESET이 이전에알려지지 않은 또다른 맬웨어 Mispadu를 발견했다고 발표했습니다.

 

MispaduESET이 최근에 탐지했던 Amavaldo Casbaneiro와 유사하게 Delphi로 작성되었으며 가짜 팝업창을 사용하여 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도합니다. 브라질과 멕시코를 주로 대상으로 하는 Mispadu 뱅킹 트로이목마에는 백도어 기능이 포함되어 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있습니다.

 

ESET 연구팀은 스팸과 악성 광고라는 두 가지 배포 방법을 사용하는 Mispadu 트로이목마 군을 확인했습니다. 전자는 라틴 아메리카 뱅킹 트로이목마에서 일반적이지만 후자는 아주 드뭅니다. Mispadu 뒤의 위협 행위자는 FacebookMcDonald’s에 대한 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결되어 할인쿠폰으로 가장한 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 됩니다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 Mispadu 뱅킹 트로이목마가 다운로드 및 실행됩니다. 이 트로이목마는 정상적인 소프트웨어의 사본을 수정한 잠재적으로 원치 않는 애플리케이션 네 가지를 이용하여 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출합니다.

 

브라질에서는 Mispadu가 흥미롭고 악의적인 Chrome 확장 프로그램을 배포하는 것으로 나타났습니다. 이 확장 프로그램은 “Chrome을 보호하세요라고 주장하지만 신용카드 및 온라인 뱅킹 데이터를 도용하려는 시도를 하며 바코드 기반 발권 시스템을 사용하여 결제를 이체하는 브라질의 유명한 결제 시스템인 Boleto 도 손상시킬 수 있습니다. Mispadu 악성코드 공격의 Boleto 구성요소는 Boleto 티켓의 합법적 바코드를 정상적인 웹사이트의 오용을 통해 생성된 공격자의 은행 계좌에 연결된 바코드로 대체합니다. 이는 Mispadu 의 가장 고급 기능입니다.

 

자세한 내용은 WeLiveSecurity 블로그 게시물 Mispadu: 할인된 Unhappy Meal 광고참고하십니오.

 

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,