사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아는 신종 위협 Janeleiro를 발견했다고 밝혔다.
Janelerio는 엔지니어링, 의료, 소매, 제조, 금융, 운송 및 정부 기관을 포함한 여러 부문에서 적어도 2019년부터 브라질의 기업 사용자를 표적으로 한 새로운 뱅킹 트로이목마이다.
이것은 브라질 대형은행들의 웹사이트처럼 보이도록 설계된 팝업창으로 피해자를 속이려고 한다. 그 후 맬웨어의 피해자가 은행 자격 증명과 개인 정보를 입력하도록 속인다. 화면창을 제어하고 그에 대한 정보를 수집하며 chrome.exe(구글 크롬)프로세스를 종료하고 화면 캡처는 물론 키 로깅 제어키, 마우스 움직임을 제어할 수 있으며 클립 보드를 가로채 범죄자들과 함께 비트코인 주소를 실시간으로 변경할 수 있다.
ESET은 2020-2021년 내내 라틴 아메리카를 대상으로 하는 저명한 뱅킹 트로이목마 맬웨어 군에 대한 일련의 조사를 진행해 왔다. Janeleiro는 브라질을 표적으로 삼는 다른 많은 맬웨어 제품군과 마찬가지로 핵심 구현에 대해 동일한 청사진을 따른다. 그러나 코딩 언어와 같은 여러가지 면에서 이러한 맬웨어군과 차별화가 된다.
이 청사진에 따르면 브라질의 뱅킹 트로이목마는 모두 동일한 프로그래밍 언어Delphi로 코딩되어 있다. Janeleiro는 브라질에서 최초로 .NET으로 코딩됐으며 구별되는 기능은 난독화 없음, 사용자 지정 암호화 없음, 보안 소프트웨어에 대한 방어 없음이다.
Janeleiro의 대부분의 명령은 윈도우, 마우스 및 키보드, 그리고 가짜 팝업창을 제어하기위한 것인데 Janeleiro를 발견한 ESET 연구원 Facundo Muñoz는 “Janeleiro 공격의 특성은 자동화 기능이 아니라 직접 실행 접근 방식이 특징이다. 대부분의 경우 운영자는 실시간으로 실행되는 명령을 통해 팝업 창을 조정해야 한다”라고 말했다.
이어 Muñoz는 "뱅킹 트로이 목마는 2018년까지 개발 중이었고 2020년에는 공격 중에 운영자가 더 나은 제어를 할 수 있도록 명령 처리를 개선했다. Janeleiro가 여러 버전 사이를 오가는 실험적인 특성은 여전히 맬웨어 도구를 관리할 적당한 방법을 찾고 있는 것으로 밝혀지긴 했으나 라틴 아메리카에 있는 많은 맬웨어 계열의 독특한 청사진을 따르는 데 경험이 풍부하다는 것을 보여준다"라고 덧붙여 말했다.
이 위협 행위자는 GitHub 저장소 웹 사이트를 사용해 모듈을 저장하고, 조직 페이지를 관리하며, 트로이목마가 운영자에게 연결하기 위해 검색하는 C&C 서버 목록과 함께 파일을 저장하는 새로운 저장소를 매일 업로드하는 것을 편안하게 생각한다. 피해자의 컴퓨터에서 은행 관련 키워드 중 하나가 발견되면 곧바로 GitHub에서 C&C 서버의 주소를 검색해 접속을 시도한다. 이러한 가짜 팝업창은 요청시 동적으로 생성되며 공격자가 명령을 통해 제어를 한다. ESET 측은 이 활동을 GitHub에 알렸지만 작성 시점에는 조직 페이지나 사용자 계정에 대해 아무런 조치도 취하지 않았다.
한편 Janeleiro에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Janeleiro, the time traveler: A new old banking trojan in Brazil"을 참조하면 된다.
■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최
-2021년 4월 28일~29일 온라인
-2일 참가시 14시간 보안교육 이수
-공공•금융•기업 보안실무자 1,000명 이상 참석
-최신 국내•외 보안솔루션 사이버 전시 참관
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
