사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 최근 Mac 컴퓨터용 트로이목마화 된 암호화폐 거래 애플리케이션을 배포하는 웹사이트를 발견했다고 밝혔습니다.
이들은 GMERA 악성 코드로 포장된 합법적인 앱으로, 맬웨어 운영자는 이를 사용하여 브라우저 쿠키, 암호화폐 지갑 및 화면 캡처와 같은 정보를 훔쳤습니다. 이 악성 활동에서 정상적인 웹사이트 설정을 모방한 가짜 웹사이트를 포함하여 합법적인 Kattana 거래 애플리케이션의 브랜드가 변경되었으며 맬웨어가 설치 프로그램에 번들로 제공되었습니다. ESET 연구진은 이 캠페인에서 Cointrazer, Cupatrade, Licatrade 및 Trezarus라는 네 가지 이름의 트로이목마 앱을 확인했습니다.
GMERA를 조사했던 ESET 연구원 Marc-Etienne M.Léveillé은,
“이전 캠페인에서와 같이, 맬웨어는 HTTP를 통해 Command & Control 서버에 보고하고 하드코딩 된 IP 주소를 사용하여 원격 터미널 세션을 다른 C&C 서버에 연결합니다.”
라고 설명했습니다.
ESET 연구진은 아직 이러한 트로이목마화 된 애플리케이션이 승격되는 정확한 위치를 찾지 못했습니다. 그러나 2020년 3월, 진짜 Kattana 사이트는, 가짜 사이트가 피해자에게 개별적으로 접근하여 트로이목마 앱을 다운로드하도록 유도한다는 내용의 경고를 게시하며 사회 공학적 접근을 지적했습니다. 이 사기 웹사이트는 가짜 애플리케이션 다운로드가 합법적으로 보이도록 설정되어 있습니다. 사기 사이트의 다운로드 버튼은 트로이 목마 애플리케이션 번들이 포함된 ZIP 아카이브에 대한 링크입니다.
ESET 연구원들은 맬웨어 코드 분석 외에도 허니팟(연구용 컴퓨터)을 설정하고 허니팟을 원격으로 제어하도록 GMERA 맬웨어 운영자를 유인했습니다. 연구원의 목표는 이 범죄자 그룹의 동기를 밝히는 것이었습니다. M.Léveillé은, “우리가 목격한 활동을 바탕으로 공격자가 쿠키 및 인터넷 사용 기록, 암호화폐 지갑 및 화면 캡처 등 브라우저 정보를 수집하고 있음을 확인할 수 있습니다.”라며 결론지었습니다.
최신 GMERA 악성 캠페인에 대한 자세한 내용은 WeLiveSecurity.com 블로그 게시물 “Mac cryptocurrency trading application rebranded, bundled with malware” 를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
| ESET(이셋), AV-Comparatives H1 Business Security Test 2020 에서 높은 점수 획득 (0) | 2020.07.30 |
|---|---|
| ESET(이셋), 사용자를 감시하고 도난당한 데이터를 유출하는 채팅 앱 발견 (0) | 2020.07.28 |
| ESET(이셋), 온라인 거래를 표적으로 하는 Evilnum Group 분석 (0) | 2020.07.28 |
| ESET(이셋), 신종 Android 랜섬웨어 발견 및 복호화 도구 제공 (0) | 2020.07.14 |
| ESET(이셋), Cybersecurity Leadership Matrix 2020에서 '챔피언'의 위치를 재확인 (0) | 2020.07.14 |
SEMTLE
Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.