사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 코로나19 팬데믹을 악용하는 Grandoreiro 트로이목마에 대해 주의를 권고했습니다.

 

Grandoreiro는 브라질, 멕시코, 스페인 및 페루의 사용자를 타겟으로 합니다. 스팸메일을 통해 배포된 이 트로이목마는 최근 세계적으로 유행 중인 코로나19 전염병을 악용하는 가짜 웹사이트를 사용하기 시작했습니다. 또한 Grandoreiro 제작자들은 안티 맬웨어 프로그램의 탐지를 회피하기 위해 지속적인 노력을 하고 있는 것으로 밝혀졌습니다.

 

Grandoreiro가 주로 스팸을 통해 배포되고 이 트로이목마 제작자들은 일반적으로 가짜 Java 또는 Flash 업데이트를 사용해 왔으나 최근 들어 코로나19 관련 사기 행위로의 전환이 관찰되었습니다. 이 트로이목마는 가짜 웹사이트에서 코로나19 바이러스에 대한 주요 정보를 담은 비디오를 숨기고 있습니다. 그러나 동영상을 클릭하면 영상이 재생되지 않고 사이트 방문자의 기기에 페이로드가 다운로드됩니다.

 

Grandoreiro2017년부터 브라질과 페루에서 활동했고 2019년에는 그 영역을 멕시코와 스페인으로 확장했습니다. 이러한 종류의 다른 라틴 아메리카 뱅킹 트로이목마와 마찬가지로 Grandoreiro는 민감한 정보를 공개하도록 가짜 팝업창을 표시하여 피해자를 공격합니다.

 

ESET이 탐지한 Grandoreiro의 히트 맵

 

Grandoreiro는 윈도우 조작, 자체 업데이트, 키 입력 캡처, 마우스 및 키보드 동작 시뮬레이션, 브라우저를 특정 URL로 연결, 컴퓨터 로그아웃 및 재시작, 웹 사이트에 액세스 차단 등의 백도어 기능을 갖고 있습니다. Grandoreiro는 영향을 받는 컴퓨터에 대한 다양한 정보를 수집하며 일부 버전에서는 Microsoft Outlook 브라우저에 저장된 데이터 뿐만 아니라 Chrome에 저장된 자격 증명도 훔칩니다.

 

Grandoreiro를 분석하는 팀을 이끌고 있는 ESET 연구원 Robert Šuman은 다음과 같이 언급했습니다.
Grandoreiro는 놀랍게도 수많은 트릭을 사용하여 탐지 및 에뮬레이션을 피합니다. 여기에는 뱅킹 보호소프트웨어를 감지하거나 비활성화하는 많은 기술이 포함됩니다. 또한 그들은 뱅킹 트로이 목마를 매우 빠르게 개발하고 있는 것 같습니다. 우리가 탐지한 이 트로이목마의 모든 새 버전에는 몇 가지 변경 사항이 있으며 최소한 두 가지 변종을 동시에 개발하고 있는 것으로 의심됩니다. 흥미롭게도 기술적 관점에서 볼 때, 그들은 유효한 파일을 유지하면서 패딩을 제거하기 어려운 바이너리 패딩 기술의 매우 특정한 애플리케이션을 활용합니다.”

 

대부분의 라틴 아메리카 뱅킹 트로이 목마와 달리 Grandoreiro는 매우 작은 배포망을 사용하며 배포 활동마다 다른 유형의 다운로더를 선택할 수도 있습니다. 이 다운로더는 종종 GitHub, Dropbox, Pastebin, 4shared 또는 4Sync와 같이 잘 알려진 공용 온라인 공유 서비스에 저장됩니다.

 

ESET이 탐지한 Grandoreiro의 히트 맵

 

 

 

Grandoreiro에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “Grandoreiro: How engorged can an EXE get?”를 참고하십시오.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요