사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)Mekotio라는 뱅킹 트로이목마에 대해 주의를 요한다고 밝혔습니다.

 

ESET 연구원들은 문서화되지 않은 트로이 목마 멀웨어 패밀리를 발견했습니다. 이 맬웨어는 눈에 띄지 않으면서 악성 토렌트를 통해 확산되고 여러 트릭을 사용하여 피해자로부터 가능한 한 많은 암호 화폐를 탈취합니다. ESET은 이 위협을 KryptoCibule로 명명했으며 ESET 원격 분석에 따르면 이 것이 주로 체코와 슬로바키아의 사용자를 대상으로 하는 것으로 보입니다.

 

이 맬웨어는 암호 화폐와 관련하여 세 가지 위협 요소입니다. 피해자의 자원을 사용하여 코인을 채굴하고, 클립보드의 지갑 주소를 대체하여 거래를 가로채고, 암호 화폐 관련 파일을 추출하는 동시에 탐지를 피하기 위해 여러 기법을 전개합니다. KryptoCibule는 통신 인프라에서 Tor 네트워크와 BitTorrent 프로토콜을 광범위하게 사용합니다.

 

새로운 맬웨어 군을 발견한 ESET 연구원 Matthieu Faou, “이 맬웨어는 적법한 일부 소프트웨어를 사용합니다. Tor Transmission 토렌트 클라이언트와 같은 일부는 설치 프로그램과 함께 번들로 제공되고 Apache httpd Buru SFTP 서버를 포함한 다른 것들은 런타임에 다운로드됩니다.”라고 말합니다.

 

ESET은 여러 버전의 KryptoCibule를 식별하여 2018 12월 까지의 발전 과정을 추적할 수 있게 했습니다. 이 맬웨어는 여전히 활성화되어 있습니다. 새로운 기능은 맬웨어의 수명에 걸쳐 정기적으로 추가되었으며 지속적으로 개발되고 있습니다.

 

피해자의 대부분은 체코와 슬로바키아에 있었으며 이는 감염된 토렌트가 발견된 사이트의 사용자 기반을 반영합니다. 거의 모든 악성 토렌트는 양국에서 인기있는 파일 공유 사이트인 uloz.to에서 확인할 수 있었습니다. 또한 KryptoCibule ESET, Avast AVG 엔드포인트 보안 제품을 구체적으로 확인합니다. ESET의 본사는 슬로바키아에 있으며 나머지 두 제품은 체코에 본사를 둔 Avast가 소유하고 있습니다.

 

Faou, "KryptoCibule는 암호 화폐를 얻기 위해 감염된 호스트를 활용하는 세가지 구성 요소(암호화 채굴, 클립 보드 도용 및 파일 유출)를 보유하고 있습니다."라고 설명하며, “아마도 맬웨어 운영자는 우리가 클립보드 하이재킹 구성 요소에 의해 사용된 지갑에서 찾은 것보다 지갑을 훔치고 암호 화폐를 채굴하여 더 많은 돈을 벌 수 있었을 것입니다. 그 구성 요소에 의해 창출된 수익만으로는 관찰된 개발 노력을 정당화할 수 없을 것 같습니다.”라고 덧붙였습니다.

 

 

KryptoCibule 구성요소 및 도구

 

KryptoCibule에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 "KryptoCibule: The multitasking multicurrency cryptostealer"를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

SEMTLE

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,