ESET(이셋), Guildma 분석: 가장 영향력 있고 YouTube를 오용하는 라틴아메리카 뱅킹 트로이목마

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Guildma 트로이목마에 대한 분석 내용을 발표했습니다. 이 맬웨어는 라틴 아메리카 지역에서 가장 영향력 있고 진보된 온라인 뱅킹 트로이목마입니다.

 

이 맬웨어는 금융 기관을 대상으로 하며 브라질 내의 이메일 계정, 온라인 상점, 스트리밍 서비스의 자격 증명을 도용하려는 시도를 하며 ESET 리서치에서 분석한 다른 라틴 아메리카 지역 뱅킹 트로이목마보다 최소 10배 이상의 피해자에게 영향을 미칩니다. 2019년 대규모 캠페인 동안, ESET은 매일 최대 50,000 건의 공격을 기록했습니다. Guildma는 악성 첨부 파일이 있는 스팸 메일을 통해서만 전파됩니다.

 

Guildma는 최신 버전 중 하나에서 YouTube 및 Facebook 프로필을 오용하여 C&C(명령 및 제어)서버를 배포하는 새로운 방법을 사용합니다. 그러나 제작자는 즉시 Facebook 사용을 중단했으며 적어도 지금은 YouTube만 사용하고 있습니다.

 

Guildma 분석 팀을 이끌고 있는 ESET 연구원 Robert Šuman은 다음과 같이 설명했습니다.

“Guildma는 매우 혁신적인 실행 방법과 정교한 공격 기술을 사용합니다. 실제 공격은 C&C 서버에 의해 조정됩니다. 이를 통해 맬웨어 제작자는 대상 은행이 구현한 대응책에 보다 유연하게 대응할 수 있습니다.”

 

Guildma는 스크린샷 촬영, 키 입력 캡처, 키보드 및 마우스 에뮬레이션, 바로 가기 차단(예: Alt+F4를 비활성화하여 표시되는 가짜 창을 제거하기 어렵게 함), 파일 다운로드 및 실행, 시스템 재부팅 등 다양한 기능을 갖춘 백도어를 자랑합니다. 또한 Guildma는 모듈형이며 현재 최소 10개의 모듈로 구성되어 있습니다. 맬웨어는 컴퓨터에 이미 있는 도구를 사용하고 고유한 자체 기술을 재사용합니다.

 

Šuman은,
“새로운 기술은 가끔씩 추가되지만 대부분의 경우 개발자는 단순히 이전 버전의 기술을 재사용하는 것 같습니다.”라고 덧붙였습니다.

 

2019년 이전 버전 중 하나에서 Guildma는 브라질 이외의 기관(주로 은행)을 대상으로 하는 기능을 추가했습니다. 그럼에도 불구하고 지난 14개월 동안 ESET은 브라질 외에는 어떠한 국제적인 움직임을 보지 못했습니다. 공격자들은 브라질 이외의 IP 주소에서 다운로드되는 것을 차단하기까지 했습니다.

 

Guildma 캠페인은 ESET Research가 하루에 최대 50,000개의 샘플을 기록한 2019년 8월 이전까지 서서히 증가했습니다. 이 캠페인은 거의 2개월간 진행되었으며 10개월 전에 발견된 탐지량의 두 배 이상을 차지했습니다.

 

2019년 7월 이후의 1단계 Guildma 탐지

 

이 트로이목마는 개발 과정에서 여러 버전을 거치는 것처럼 보였지만, 투박한 아키텍처로 인해 버전 간 발전은 거의 없었습니다.

 

 

ESET에서 분석한 최신 버전의 Guildma 배포망(버전 150)

 

Guildma는 라틴 아메리카 뱅킹 트로이목마의 몇가지 일반적인 특징을 공유합니다. 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 Guildma: The devil drives electric 을 참고하십시오. ESET Research의 최신뉴스를 보려면 Twitter의 ESET Research를 팔로우 하십시오.

 

 

• 데이터넷 : "브라질 지역 집중 공격하는 뱅킹 트로이목마 발견"
• 아이뉴스24 : 하루 최대 5만건…이셋, 금융기관 타깃 악성코드 '길드마' 발견
• 데일리시큐 : 이셋코리아, Guildma트로이목마 분석내용 발표
  
• 파이낸셜신문 : 이셋 "온라인뱅킹 트로이목마 ‘Guildma’ 주의"...스팸 메일 통해 전파