사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Mekotio라는 뱅킹 트로이목마에 대해 주의를 요한다고 밝혔습니다.
ESET 연구원들은 악명 높은 라틴 아메리카 뱅킹 트로이 목마를 다시 조사했습니다. 이번에는 주로 브라질, 칠레, 멕시코, 스페인, 페루, 포르투갈 등 스페인어 및 포르투갈어 사용 국가를 대상으로 하는 은행 트로이 목마인 Mekotio를 탐색했습니다. Mekotio는 스크린 샷 촬영, 영향을 받는 컴퓨터 다시 시작, 합법적인 은행 웹 사이트에 대한 액세스를 제한하고 일부 변종에서는 비트 코인을 훔치고 Google Chrome 브라우저에 저장된 자격 증명을 유출하는 등 몇 가지 전형적인 백도어 활동을 합니다.
Mekotio는 적어도 2015년부터 활성화되었으며 ESET이 조사한 다른 뱅킹 트로이 목마와 마찬가지로 Delphi로 작성된 맬웨어의 공통적인 특성을 공유합니다. 이러한 맬웨어는 가짜 팝업 창을 사용하고 백도어 기능을 포함합니다. 의심을 덜기 위해 Mekotio는 특정 메시지 상자를 사용하여 보안 업데이트를 가장합니다.
Mekotio는 방화벽 구성, 관리자 권한, Windows OS 버전 및 설치된 부정 행위 방지 제품 및 맬웨어 방지 솔루션 목록을 포함하여 피해자로부터 액세스할 수 있는 많은 기술적 세부 정보가 있습니다. 한 명령은 C: \Windows 하위의 모든 파일과 폴더 제거하여 피해자의 컴퓨터를 손상시키려는 시도를 합니다.
Mekotio 연구팀을 이끄는 ESET 연구원 Robert Šuman은, "연구자들에게 이 맬웨어 계열 최신 변종의 가장 주목할 만한 특징은 SQL 데이터베이스를 C&C 서버로 사용하고 합법적인 AutoIt 통역기를 어떻게 악용하는가에 있습니다."라고 설명합니다.
맬웨어는 주로 스팸을 통해 배포됩니다. 2018년부터 ESET 연구원들은 이 제품군에서 사용하는 38개의 서로 다른 유통망을 관찰했습니다. 이러한 체인의 대부분은 여러 단계로 구성되어 있으며 라틴 아메리카 은행 트로이 목마의 잘 알려진 동작인 ZIP 압축파일을 다운로드하게 됩니다.
“Mekotio는 기능이 매우 자주 수정되는 등 다소 혼란스러운 개발 경로를 따랐습니다. 내부 버전 관리를 기반으로 ESET은 동시에 개발되는 여러 변종이 있다고 생각합니다.”라고 Šuman은 덧붙였습니다.
Mekotio에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “Mekotio: These aren’t the security updates you’re looking for…”를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
ESET Mobile Security, AV-Test "최고의 Android용 안티 바이러스 소프트웨어"에서 최고 점수 획득 (0) | 2020.09.09 |
---|---|
ESET 보안 솔루션, KuppingerCole Market Compass에서 높은 평가 (0) | 2020.08.26 |
ESET(이셋), AV-Comparatives H1 Business Security Test 2020 에서 높은 점수 획득 (0) | 2020.07.30 |
ESET(이셋), 사용자를 감시하고 도난당한 데이터를 유출하는 채팅 앱 발견 (0) | 2020.07.28 |
ESET(이셋), 트로이목마화된 Mac 가상화폐 앱 발견 (0) | 2020.07.28 |