사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 최근 Mac 컴퓨터용 트로이목마화 된 암호화폐 거래 애플리케이션을 배포하는 웹사이트를 발견했다고 밝혔습니다.

 

이들은 GMERA 악성 코드로 포장된 합법적인 앱으로, 맬웨어 운영자는 이를 사용하여 브라우저 쿠키, 암호화폐 지갑 및 화면 캡처와 같은 정보를 훔쳤습니다. 이 악성 활동에서 정상적인 웹사이트 설정을 모방한 가짜 웹사이트를 포함하여 합법적인 Kattana 거래 애플리케이션의 브랜드가 변경되었으며 맬웨어가 설치 프로그램에 번들로 제공되었습니다. ESET 연구진은 이 캠페인에서 Cointrazer, Cupatrade, Licatrade Trezarus라는 네 가지 이름의 트로이목마 앱을 확인했습니다.

 

GMERA를 조사했던 ESET 연구원 Marc-Etienne M.Léveillé,
“이전 캠페인에서와 같이, 맬웨어는 HTTP를 통해 Command & Control 서버에 보고하고 하드코딩 된 IP 주소를 사용하여 원격 터미널 세션을 다른 C&C 서버에 연결합니다.”
라고 설명했습니다.

 

ESET 연구진은 아직 이러한 트로이목마화 된 애플리케이션이 승격되는 정확한 위치를 찾지 못했습니다. 그러나 2020 3, 진짜 Kattana 사이트는, 가짜 사이트가 피해자에게 개별적으로 접근하여 트로이목마 앱을 다운로드하도록 유도한다는 내용의 경고를 게시하며 사회 공학적 접근을 지적했습니다. 이 사기 웹사이트는 가짜 애플리케이션 다운로드가 합법적으로 보이도록 설정되어 있습니다. 사기 사이트의 다운로드 버튼은 트로이 목마 애플리케이션 번들이 포함된 ZIP 아카이브에 대한 링크입니다.

 

ESET 연구원들은 맬웨어 코드 분석 외에도 허니팟(연구용 컴퓨터)을 설정하고 허니팟을 원격으로 제어하도록 GMERA 맬웨어 운영자를 유인했습니다. 연구원의 목표는 이 범죄자 그룹의 동기를 밝히는 것이었습니다. M.Léveillé, “우리가 목격한 활동을 바탕으로 공격자가 쿠키 및 인터넷 사용 기록, 암호화폐 지갑 및 화면 캡처 등 브라우저 정보를 수집하고 있음을 확인할 수 있습니다.”라며 결론지었습니다.

 

최신 GMERA 악성 캠페인에 대한 자세한 내용은 WeLiveSecurity.com 블로그 게시물 Mac cryptocurrency trading application rebranded, bundled with malware 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,