사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 신종 위협 Janeleiro 를 발견했다고 밝혔습니다.

 

Janelerio는 엔지니어링, 의료, 소매, 제조, 금융, 운송 및 정부 기관을 포함한 여러 부문에서 적어도 2019년부터 브라질의 기업 사용자를 표적으로 한 새로운 뱅킹 트로이목마입니다.

 

이 것은 브라질 대형 은행들의 웹사이트처럼 보이도록 설계된 팝업 창으로 피해자를 속이려고 합니다. 그 후 맬웨어의 피해자가 은행 자격 증명과 개인 정보를 입력하도록 속입니다. 화면 창을 제어하고 그에 대한 정보를 수집하며 chrome.exe(구글 크롬) 프로세스를 종료하고 화면 캡처는 물론 키 로깅 제어 키, 마우스 움직임을 제어할 수 있으며 클립 보드를 가로채 범죄자들과 함께 비트 코인 주소를 실시간으로 변경할 수 있습니다.

 

2020-2021년 내내 ESET은 라틴 아메리카를 대상으로 하는 저명한 뱅킹 트로이목마 맬웨어 군에 대한 일련의 조사를 진행해 왔습니다. Janeleiro는 브라질을 표적으로 삼는 다른 많은 맬웨어 제품군과 마찬가지로 핵심 구현에 대해 동일한 청사진을 따릅니다. 그러나 코딩 언어와 같은 여러가지 면에서 이러한 맬웨어군과 차별화됩니다. 이 청사진에 따르면 브라질의 뱅킹 트로이목마는 모두 동일한 프로그래밍 언어 Delphi 로 코딩되어 있습니다. Janeleiro는 브라질에서 최초로 .NET으로 코딩되었습니다. 다른 구별되는 기능은 다음과 같습니다 : 난독화 없음, 사용자 지정 암호화 없음, 보안 소프트웨어에 대한 방어 없음

 

Janeleiro의 대부분의 명령은 윈도우, 마우스 및 키보드, 그리고 가짜 팝업 창을 제어하기 위한 것입니다. Janeleiro를 발견한 ESET 연구원 Facundo Muñoz, “Janeleiro 공격의 특성은 자동화 기능이 아니라 직접 실행 접근 방식이 특징입니다. 대부분의 경우 운영자는 실시간으로 실행되는 명령을 통해 팝업 창을 조정해야 합니다.”라고 말합니다.

 

Muñoz, "뱅킹 트로이 목마는 2018년까지 개발 중이었고 2020년에는 공격 중에 운영자가 더 나은 제어를 할 수 있도록 명령 처리를 개선했습니다. Janeleiro가 여러 버전 사이를 오가는 실험적인 특성은 여전히 맬웨어 도구를 관리할 적당한 방법을 찾고 있는 것으로 밝혀지긴 했으나 라틴 아메리카에 있는 많은 맬웨어 계열의 독특한 청사진을 따르는 데 경험이 풍부하다는 것을 보여줍니다. "라고 덧붙였습니다.

 

흥미롭게도 이 위협 행위자는 GitHub 저장소 웹 사이트를 사용하여 모듈을 저장하고, 조직 페이지를 관리하며, 트로이목마가 운영자에게 연결하기 위해 검색하는 C&C 서버 목록과 함께 파일을 저장하는 새로운 저장소를 매일 업로드하는 것을 편안하게 생각합니다. 피해자의 컴퓨터에서 은행 관련 키워드 중 하나가 발견되면 곧바로 GitHub에서 C&C 서버의 주소를 검색해 접속을 시도합니다. 이러한 가짜 팝업 창은 요청시 동적으로 생성되며 공격자가 명령을 통해 제어합니다. ESET은 이 활동을 GitHub에 알렸지만 작성 시점에는 조직 페이지 나 사용자 계정에 대해 아무런 조치도 취하지 않았습니다.

 

Janeleiro에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Janeleiro, the time traveler: A new old banking trojan in Brazil"을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,