사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 코로나19 팬데믹을 악용하는 Grandoreiro 트로이목마에 대해 주의를 권고했습니다.
Grandoreiro는 브라질, 멕시코, 스페인 및 페루의 사용자를 타겟으로 합니다. 스팸메일을 통해 배포된 이 트로이목마는 최근 세계적으로 유행 중인 코로나19 전염병을 악용하는 가짜 웹사이트를 사용하기 시작했습니다. 또한 Grandoreiro 제작자들은 안티 맬웨어 프로그램의 탐지를 회피하기 위해 지속적인 노력을 하고 있는 것으로 밝혀졌습니다.
Grandoreiro가 주로 스팸을 통해 배포되고 이 트로이목마 제작자들은 일반적으로 가짜 Java 또는 Flash 업데이트를 사용해 왔으나 최근 들어 코로나19 관련 사기 행위로의 전환이 관찰되었습니다. 이 트로이목마는 가짜 웹사이트에서 코로나19 바이러스에 대한 주요 정보를 담은 비디오를 숨기고 있습니다. 그러나 동영상을 클릭하면 영상이 재생되지 않고 사이트 방문자의 기기에 페이로드가 다운로드됩니다.
Grandoreiro는 2017년부터 브라질과 페루에서 활동했고 2019년에는 그 영역을 멕시코와 스페인으로 확장했습니다. 이러한 종류의 다른 라틴 아메리카 뱅킹 트로이목마와 마찬가지로 Grandoreiro는 민감한 정보를 공개하도록 가짜 팝업창을 표시하여 피해자를 공격합니다.
Grandoreiro는 윈도우 조작, 자체 업데이트, 키 입력 캡처, 마우스 및 키보드 동작 시뮬레이션, 브라우저를 특정 URL로 연결, 컴퓨터 로그아웃 및 재시작, 웹 사이트에 액세스 차단 등의 백도어 기능을 갖고 있습니다. Grandoreiro는 영향을 받는 컴퓨터에 대한 다양한 정보를 수집하며 일부 버전에서는 Microsoft Outlook 브라우저에 저장된 데이터 뿐만 아니라 Chrome에 저장된 자격 증명도 훔칩니다.
Grandoreiro를 분석하는 팀을 이끌고 있는 ESET 연구원 Robert Šuman은 다음과 같이 언급했습니다.
“Grandoreiro는 놀랍게도 수많은 트릭을 사용하여 탐지 및 에뮬레이션을 피합니다. 여기에는 뱅킹 보호소프트웨어를 감지하거나 비활성화하는 많은 기술이 포함됩니다. 또한 그들은 뱅킹 트로이 목마를 매우 빠르게 개발하고 있는 것 같습니다. 우리가 탐지한 이 트로이목마의 모든 새 버전에는 몇 가지 변경 사항이 있으며 최소한 두 가지 변종을 동시에 개발하고 있는 것으로 의심됩니다. 흥미롭게도 기술적 관점에서 볼 때, 그들은 유효한 파일을 유지하면서 패딩을 제거하기 어려운 바이너리 패딩 기술의 매우 특정한 애플리케이션을 활용합니다.”
대부분의 라틴 아메리카 뱅킹 트로이 목마와 달리 Grandoreiro는 매우 작은 배포망을 사용하며 배포 활동마다 다른 유형의 다운로더를 선택할 수도 있습니다. 이 다운로더는 종종 GitHub, Dropbox, Pastebin, 4shared 또는 4Sync와 같이 잘 알려진 공용 온라인 공유 서비스에 저장됩니다.
Grandoreiro에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “Grandoreiro: How engorged can an EXE get?”를 참고하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
ESET(이셋), 중앙아시아에서 주요 표적을 공격하는 백도어 스파이 Mikroceen발견 (0) | 2020.05.20 |
---|---|
ESET(이셋), 사이버 스파이 프레임워크인 Ramsay 발견 (0) | 2020.05.20 |
ESET(이셋), 암호화 봇넷 VictoryGate 교란 (0) | 2020.04.29 |
ESET(이셋), 코로나19(COVID-19)에 대한 두려움을 악용하는 사기꾼의 맬웨어 전파에 주의 권고 (0) | 2020.04.08 |
ESET(이셋), Guildma 분석: 가장 영향력 있고 YouTube를 오용하는 라틴아메리카 뱅킹 트로이목마 (0) | 2020.03.11 |