사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)는 라틴아메리카 뱅킹 트로이 목마인 Casbaneiro 를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 권고했습니다.

 

Casbaneiro 는 이전에 발견된 Amavaldo 맬웨어와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있습니다. 이 맬웨어는 사회공학기법을 이용하여 피해자를 속이면서 Amavaldo의 가짜 팝업창 및 입력 폼을 모방합니다. 이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행 계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도합니다.

 

피해자의 기기에 침투한 후에는 백도어 명령을 사용하여 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록합니다. 또한 Casbaneiro는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용됩니다. 이러한 데이터가 발견되면 맬웨어는 해당 데이터를 공격자의 암호화폐 지갑으로 대체합니다.

 

Casbaneiro 맬웨어는 여러 암호화 알고리즘을 이용하여 실행 파일 내의 문자열을 가리고 다운로드 한 페이로드 및 구성 데이터를 해독하는 데 사용됩니다. Casbaniero의 초기 매개체는 악성 이메일인데, 이 것은 Amavaldo가 사용한 것과 같은 수법입니다.

 

Casbaneiro의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동입니다. C&C 서버는 가짜 DNS 항목이나 Google Docs에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있습니다. 경우에 따라 C&C 서버 도메인은 암호화되어 합법적인 웹사이트에 숨겨져 있는 경우도 있는데, 특히 YouTube에 저장된 여러 동영상의 설명에서 두드러집니다. Casbaneiro는 주로 브라질 및 멕시코 은행 응용 프로그램을 대상으로 합니다.

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요