블랙하트, 50달러라는 비교적 낮은 금액 요구
[보안뉴스 문가용 기자] 새로운 랜섬웨어가 발견됐다. 애니데스크(AnyDesk)라는 정상 원격 데스크톱 툴에 악성 페이로드를 섞어서 오염시키는 것이 특징이라고 보안 업체 트렌드 마이크로(Trend Micro)는 설명했다. 정상적인 툴을 함께 사용함으로서 탐지 기술을 쉽게 우회할 수 있다고 한다.
[이미지 = iclickart]
이 랜섬웨어의 이름은 블랙하트(BLACKHEART)로 트렌드 마이크로가 발견한 샘플의 이름은 RANSOM_BLACKHEART다. 발견 당시 비트코인으로 약 50달러를 요구하는 협박 편지를 생성하는 기능을 가지고 있었다고 한다. “그다지 특별할 것이 없는 랜섬웨어입니다. 피해자의 파일을 암호화하고, 이를 풀어주는 대가로 돈을 받는, 전형적인 랜섬웨어죠.”
트렌드 마이크로는 “현재까지 블랙하트가 악성 웹사이트를 통해 사용자들을 감염시키는 것으로 분석된다”고 설명한다. 그러나 “정확한 감염 경로는 아직 파악 중에 있다”고 한다. “블랙하트 샘플을 추적하다가, 애니데스크라는 소프트웨어와 키로거인 TSPY_KEYLOGGER.THDBEAH가 함께 번들링 된 공격 캠페인도 발견했습니다.”
애니데스크는 독일의 애니데스크 소프트웨어 GbmB(AnyDesk Software GmbG)가 개발한 것으로 사용자가 개인 컴퓨터를 원격에서 접근할 수 있도록 해준다. 다양한 OS를 지원하는데, 안드로이드와 iOS 등 모바일 플랫폼도 여기에 포함된다. 전송 계층 보안(TLS), 파일 전송, 클라이언트 대 클라이언트 채팅 기능도 탑재되어 있다.
트렌드 마이크로는 “랜섬웨어나 키로거를 애니데스크와 번들링한 건 탐지 기술을 우회하기 위해서”라고 분석하고 있다. “RANSOM_BLACKHEART가 다운로드 되면 애니데스크가 시스템에서 실행되기 시작합니다. 사용자를 속이기 위해서인데요, 그러면서 뒤에서는 파일 암호화를 진행하죠.”
트렌드 마이크로의 전문가들은 “블랙하트 배후에 있는 공격자들이 애니데스크를 실험해보고 있는 것일 수도 있다”고 분석을 이어간다. “이전에도 비슷한 시도가 있었어요. 블랙하트 이전에 나왔던 여러 랜섬웨어들 중 팀뷰어(TeamViewer)라는 프로그램 뒤에 숨어서 작동한 것들이 있었거든요. 아마 지나치게 넓게 알려진 팀뷰어를 대신할 소프트웨어를 공격자들이 찾고 있는 듯 합니다.”
트렌드 마이크로는 애니데스크에 이러한 사실을 알렸다고 한다. “물론 애니데스크가 잘못한 것은 아무 것도 없습니다. 하지만 애니데스크 측에서는 ‘우리도 할 수 있는 조치가 뭔지 고민해보고 이를 방지할 방법을 찾아보겠다’고 알려왔습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>