사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)Mekotio라는 뱅킹 트로이목마에 대해 주의를 요한다고 밝혔습니다.

 

ESET 연구원들은 악명 높은 라틴 아메리카 뱅킹 트로이 목마를 다시 조사했습니다. 이번에는 주로 브라질, 칠레, 멕시코, 스페인, 페루, 포르투갈 등 스페인어 및 포르투갈어 사용 국가를 대상으로 하는 은행 트로이 목마인 Mekotio를 탐색했습니다. Mekotio는 스크린 샷 촬영, 영향을 받는 컴퓨터 다시 시작, 합법적인 은행 웹 사이트에 대한 액세스를 제한하고 일부 변종에서는 비트 코인을 훔치고 Google Chrome 브라우저에 저장된 자격 증명을 유출하는 등 몇 가지 전형적인 백도어 활동을 합니다.

 

Mekotio는 적어도 2015년부터 활성화되었으며 ESET이 조사한 다른 뱅킹 트로이 목마와 마찬가지로 Delphi로 작성된 맬웨어의 공통적인 특성을 공유합니다. 이러한 맬웨어는 가짜 팝업 창을 사용하고 백도어 기능을 포함합니다. 의심을 덜기 위해 Mekotio는 특정 메시지 상자를 사용하여 보안 업데이트를 가장합니다.

 

Mekotio는 방화벽 구성, 관리자 권한, Windows OS 버전 및 설치된 부정 행위 방지 제품 및 맬웨어 방지 솔루션 목록을 포함하여 피해자로부터 액세스할 수 있는 많은 기술적 세부 정보가 있습니다. 한 명령은 C: \Windows 하위의 모든 파일과 폴더 제거하여 피해자의 컴퓨터를 손상시키려는 시도를 합니다.

 

Mekotio 연구팀을 이끄는 ESET 연구원 Robert Šuman, "연구자들에게 이 맬웨어 계열 최신 변종의 가장 주목할 만한 특징은 SQL 데이터베이스를 C&C 서버로 사용하고 합법적인 AutoIt 통역기를 어떻게 악용하는가에 있습니다."라고 설명합니다.

 

맬웨어는 주로 스팸을 통해 배포됩니다. 2018년부터 ESET 연구원들은 이 제품군에서 사용하는 38개의 서로 다른 유통망을 관찰했습니다. 이러한 체인의 대부분은 여러 단계로 구성되어 있으며 라틴 아메리카 은행 트로이 목마의 잘 알려진 동작인 ZIP 압축파일을 다운로드하게 됩니다.

 

Mekotio는 기능이 매우 자주 수정되는 등 다소 혼란스러운 개발 경로를 따랐습니다. 내부 버전 관리를 기반으로 ESET은 동시에 개발되는 여러 변종이 있다고 생각합니다.”라고 Šuman은 덧붙였습니다.

 

Mekotio에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 Mekotio: These aren’t the security updates you’re looking for…를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

Mekotio 의 영향을 받는 국가

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 서초구 바우뫼로 216 화인빌딩 3층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요