ESET(이셋), 중남미 금융 사이버 범죄자들 간의 긴밀한 협력 발견

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 중남미 금융 사이버범죄들 간의 협력을 발견하고 뱅킹 트로이 목마에 대한 주의를 당부했습니다.

 

ESET 연구원들은 라틴 아메리카 뱅킹 트로이 목마 계열의 상호 연결된 특성에 대한 연구 결과를 자세히 설명하는 백서를 게시했습니다. 라틴 아메리카 뱅킹 트로이 목마는 하나의 동종 맬웨어 그룹으로 간주될 수 있지만 ESET은 여러가지 고유한 맬웨어 계열을 인식할 수 있다고 보고했습니다. 동시에 ESET 연구원들은 라틴 아메리카 은행 트로이 목마 제작자 간의 긴밀한 협력을 나타내는 놀라운 지표를 발견했습니다. "라틴 아메리카"라는 용어에도 불구하고 일부 트로이 목마는 작년 말부터 스페인과 포르투갈을 표적으로 삼았습니다. 이 백서는 VB2020 로컬호스트 컨퍼런스에서 처음 게시되었습니다.

 

라틴 아메리카 금융 사이버 범죄를 연구하는 연구원 중 한 명인 Jakub Souček은, “지난 1년 동안 우리는 라틴 아메리카 뱅킹 트로이 목마 계열에 대한 블로그 게시물 시리즈를 지속적으로 게시했습니다. 이 블로그 게시물들은 주로 이러한 트로이 목마 계열의 가장 중요하고 흥미로운 측면에 초점을 맞추고 있습니다.”라고 언급했습니다. “VB 컨퍼런스에서 우리는 높은 수준의 관점에서 이 트로이 목마 계열을 살펴 보았습니다. 각 계열의 세부 사항을 검토하고 고유한 특성을 강조하기보다는 공통점이 무엇인지에 집중했습니다."

 

ESET이 발견한 첫 번째 유사점은 이러한 뱅킹 트로이 목마의 실제 구현이었습니다. 가장 분명한 것은 피해자가 민감한 정보를 제공하도록 세심하게 설계된 가짜 팝업 창을 통해 뱅킹 트로이 목마의 핵심 기능과 공격 기술을 실질적으로 동일하게 구현한 것입니다. 그 외에도 이러한 맬웨어 계열은 타사 라이브러리, 일반적으로 알려지지 않은 문자열 암호화 알고리즘, 문자열 및 이진 난독화 기술을 공유합니다.

 

다른 유사점은 맬웨어 배포에서 확인할 수 있습니다. 트로이 목마는 일반적으로 시스템이 이미 손상되었음을 나타내는 마커를 확인하고 ZIP 아카이브에서 데이터를 다운로드합니다. ESET은 또한 동일한 배포 체인이 여러 개의 서로 다른 페이로드 및 공유 실행 방법을 배포하는 것을 관찰했습니다.

 

Souček은, "또한 다른 여러가지 트로이목마가 최신 캠페인에서 유사한 스팸 이메일 템플릿을 사용하고 있습니다. 이는 마치 조정된 움직임인 것처럼 보입니다."라고 했습니다. “독립 맬웨어 작성자가 그렇게 많은 공통적인 아이디어를 내놓는 것이 가능하지 않다고 생각하며, 더욱이 한 그룹이 이러한 모든 맬웨어 계열을 관리할 책임이 있다고 생각하지 않기 때문에 이들은 여러 위협 행위자들이 서로 긴밀히 협력하고 있다는 결론을 내릴 수밖에 없습니다."

 

이 스파이웨어에 대한 자세한 기술 정보는 WeLiveSecurity의 "LATAM financial cybercrime: Competitors in crime sharing TTPs"백서를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.