브라질 은행 고객들 위협하는 카무봇...운영자들은 대범하고 꼼꼼하게 표적 조사해
최대한 소음 없애려는 노력 엿보여...고도화 된 표적 공격, 은밀해 탐지 어려워
[보안뉴스 문가용 기자] 브라질 은행 고객들을 노리는 것으로 유명한 카무봇(CamuBot) 멀웨어가 최근 ‘컴백’했다. 이전 공격보다 고도화 된 개인화 공격이 특징이며, 사기 탐지 기술을 더 능숙하게 회피한다고 한다.
[이미지 = iclickart]
카무봇을 추적하고 있는 보안 전문가들에 의하면 지난 6개월 동안 크게 두 개의 캠페인이 벌어졌다고 한다. 둘 다 고도로 표적화 된 캠페인으로, 하나는 8월에서 9월까지, 또 다른 하나는 10월에서 11월에 진행됐다. 그런 후 2020년 현재, 새로운 캠페인이 시작된 것이다. 이번에도 피해자들은 대부분 브라질에서 발생하고 있다.
“여태까지 관찰된 바에 의하면 카무봇 공격자들은 피해자들을 세심하게 고르는 것으로 의심됩니다. 무차별적으로 쏟아 붓는 것이 아니라 최대한 조용하고 은밀하게 캠페인을 진행하고 있죠. 탐지되는 것을 극도로 기피하는 듯합니다.” IBM 엑스포스(X-Force)팀에 소속된 보안 전문가 첸 나만(Chen Nahman)과 리모 케셈(Limor Kessem)의 설명이다.
따라서 공격자들은 실제 공격을 실시하기 전에 충분한 연구와 조사를 실시한다. “대담하게도 전화 통화도 몇 차례 해가며 회사 내부 구조와 상하 관계를 파악합니다. 그런 다음 은행 직원인 척 하며 내부 직원과 신뢰 관계를 형성한다. 그런 후에는 조심스럽게 여러 가지 행동들을 요구하고, 내부 직원은 의심하지 않고 이에 따른다. 가볍게 이런 저런 웹 페이지에 가보라고 권하는 정도라 신뢰 관계 속에서는 이상하다는 낌새를 채기가 어렵다.
당연히 이들이 피해자들에게 안내하는 웹 페이지에는 카무봇이 호스팅 되어 있다. 이를 꿈에도 모르는 피해자들은 지시에 따라 로그인 크리덴셜을 새롭게 입력하고 보안 프로그램(당연히 가짜다)을 다운로드 받는다. 보안 프로그램이 설치되는 것을 기다리겠지만, 사실 피해자들의 컴퓨터에 설치되는 건 카무봇이다. 이로써 공격자들은 원격에서 해당 시스템에 접근할 수 있게 된다.
이전 카무봇 공격자들은 피해자들의 크리덴셜을 훔쳐낸 뒤, 그 크리덴셜을 가지고 스스로 로그인을 함으로써 각종 사기 거래 등의 행위를 이어갔다. “최근에는 이 부분이 조금 달라졌습니다. 주로 데스크톱 장비를 감염시켜 계정에 로그인을 했었다면, 요즘은 은행이 출시한 모바일 애플리케이션들을 노립니다. 무대가 옮겨간 것이죠.”
따라서 공격자들은 온라인 뱅킹용 모바일 앱의 ‘로그인’ 정보만을 요구하지 않는다. “앱으로 할 수 있는 다양한 행위들을 피해자가 허용해주는 것이 공격자들에게는 더 필요합니다. 이는 주로 데스크톱 웹사이트를 통해 활성화 됩니다. 웹사이트를 방문해 필요한 옵션을 마저 활성화시키라는 안내까지 나옵니다.”
여기까지 성공적으로 완료한 공격자들은 모바일 뱅킹 애플리케이션에도 로그인 할 수 있게 된다. 그것도 피해자의 정상적인 크리덴셜을 사용해서다. “공격자들은 로그인을 한 뒤, 계정 정보 내용 중 전화번호 부분을 바꿉니다. 자신들이 통제할 수 있는 전화번호죠. 아마도 이중 인증에 필요한 문자 메시지 따위를 중간에서 가로채기 위해서라고 봅니다.”
PC에 접근하는 데 성공한 공격자들은 왜 굳이 모바일로 무대를 옮긴 것일까? 엑스포스 팀은 “공격자들이 계정의 모든 면을 관찰하려는 것으로 보인다”고 설명한다. “한 번에 크고 확실한 공격을 하기 위해 정보를 최대한 많은 곳에서 수집하는 것이죠. 은행은 사기 거래 사실을 알게 되면 어느 누구보다 빨리 움직여 거래를 취소하고 돈을 회수합니다. 그런 일을 막으려는 것으로 보입니다.”
엑스포스 팀에 의하면 카무봇 운영자들이 사용하는 전략은 트릭봇(TrickBot), 아이스드아이디(IcedID), 어즈니프(Ursnif)와 같은 사이버 범죄 단체들의 그것과 상당히 비슷하다고 한다. “전부 소셜 엔지니어링과 기술적 공격을 녹여 냄으로써 기업들을 주로 노린다는 특징을 공유하고 있습니다. 브라질에서 이는 굉장히 독특한 겁니다. 브라질에서 발견되는 사이버 공격은 주로 ‘전통의’ 해킹 기술을 기반으로 하고 있기 때문이죠.”
카무봇은 브라질에서 발견된 대부분의 멀웨어와 달리 피해자들에게 대담하게 접근한다고도 한다. “원래 멀웨어를 이용하는 공격자들은 자신의 멀웨어를 감추려고 하죠. 하지만 카무봇은 마치 보안 솔루션인 것처럼 스스로를 위장합니다. 은행 거래를 위해 반드시 설치해야 하는 그런 보안 프로그램 말이죠.”
엑스포스 팀은 “카무봇의 유행은 브라질 내에서는 물론 브라질 바깥으로까지 퍼져나갈 것”이라고 예상하고 있다. “먼저는 남아메리카 대륙에서 카무봇 공격이 일어나고 있나 살펴봐야 할 거 같습니다. 브라질에서 나와 남아메리카에서 카무봇이 발견되는 순간, 세계 금융권은 긴장해야 할 것입니다.”
3줄 요약
1. 브라질 금융 업계 노리는 것으로 유명한 카무봇 멀웨어, 최근 컴백.
2. 최근 카무봇 공격은 PC를 감염시킨 후 모바일 뱅킹 앱에까지 접근.
3. 이번 카무봇은 은행에서 제공하는 보안 프로그램인 것처럼 위장되어 있음.
[국제부 문가용 기자(globoan@boannews.com)]
최대한 소음 없애려는 노력 엿보여...고도화 된 표적 공격, 은밀해 탐지 어려워
[보안뉴스 문가용 기자] 브라질 은행 고객들을 노리는 것으로 유명한 카무봇(CamuBot) 멀웨어가 최근 ‘컴백’했다. 이전 공격보다 고도화 된 개인화 공격이 특징이며, 사기 탐지 기술을 더 능숙하게 회피한다고 한다.
[이미지 = iclickart]
카무봇을 추적하고 있는 보안 전문가들에 의하면 지난 6개월 동안 크게 두 개의 캠페인이 벌어졌다고 한다. 둘 다 고도로 표적화 된 캠페인으로, 하나는 8월에서 9월까지, 또 다른 하나는 10월에서 11월에 진행됐다. 그런 후 2020년 현재, 새로운 캠페인이 시작된 것이다. 이번에도 피해자들은 대부분 브라질에서 발생하고 있다.
“여태까지 관찰된 바에 의하면 카무봇 공격자들은 피해자들을 세심하게 고르는 것으로 의심됩니다. 무차별적으로 쏟아 붓는 것이 아니라 최대한 조용하고 은밀하게 캠페인을 진행하고 있죠. 탐지되는 것을 극도로 기피하는 듯합니다.” IBM 엑스포스(X-Force)팀에 소속된 보안 전문가 첸 나만(Chen Nahman)과 리모 케셈(Limor Kessem)의 설명이다.
따라서 공격자들은 실제 공격을 실시하기 전에 충분한 연구와 조사를 실시한다. “대담하게도 전화 통화도 몇 차례 해가며 회사 내부 구조와 상하 관계를 파악합니다. 그런 다음 은행 직원인 척 하며 내부 직원과 신뢰 관계를 형성한다. 그런 후에는 조심스럽게 여러 가지 행동들을 요구하고, 내부 직원은 의심하지 않고 이에 따른다. 가볍게 이런 저런 웹 페이지에 가보라고 권하는 정도라 신뢰 관계 속에서는 이상하다는 낌새를 채기가 어렵다.
당연히 이들이 피해자들에게 안내하는 웹 페이지에는 카무봇이 호스팅 되어 있다. 이를 꿈에도 모르는 피해자들은 지시에 따라 로그인 크리덴셜을 새롭게 입력하고 보안 프로그램(당연히 가짜다)을 다운로드 받는다. 보안 프로그램이 설치되는 것을 기다리겠지만, 사실 피해자들의 컴퓨터에 설치되는 건 카무봇이다. 이로써 공격자들은 원격에서 해당 시스템에 접근할 수 있게 된다.
이전 카무봇 공격자들은 피해자들의 크리덴셜을 훔쳐낸 뒤, 그 크리덴셜을 가지고 스스로 로그인을 함으로써 각종 사기 거래 등의 행위를 이어갔다. “최근에는 이 부분이 조금 달라졌습니다. 주로 데스크톱 장비를 감염시켜 계정에 로그인을 했었다면, 요즘은 은행이 출시한 모바일 애플리케이션들을 노립니다. 무대가 옮겨간 것이죠.”
따라서 공격자들은 온라인 뱅킹용 모바일 앱의 ‘로그인’ 정보만을 요구하지 않는다. “앱으로 할 수 있는 다양한 행위들을 피해자가 허용해주는 것이 공격자들에게는 더 필요합니다. 이는 주로 데스크톱 웹사이트를 통해 활성화 됩니다. 웹사이트를 방문해 필요한 옵션을 마저 활성화시키라는 안내까지 나옵니다.”
여기까지 성공적으로 완료한 공격자들은 모바일 뱅킹 애플리케이션에도 로그인 할 수 있게 된다. 그것도 피해자의 정상적인 크리덴셜을 사용해서다. “공격자들은 로그인을 한 뒤, 계정 정보 내용 중 전화번호 부분을 바꿉니다. 자신들이 통제할 수 있는 전화번호죠. 아마도 이중 인증에 필요한 문자 메시지 따위를 중간에서 가로채기 위해서라고 봅니다.”
PC에 접근하는 데 성공한 공격자들은 왜 굳이 모바일로 무대를 옮긴 것일까? 엑스포스 팀은 “공격자들이 계정의 모든 면을 관찰하려는 것으로 보인다”고 설명한다. “한 번에 크고 확실한 공격을 하기 위해 정보를 최대한 많은 곳에서 수집하는 것이죠. 은행은 사기 거래 사실을 알게 되면 어느 누구보다 빨리 움직여 거래를 취소하고 돈을 회수합니다. 그런 일을 막으려는 것으로 보입니다.”
엑스포스 팀에 의하면 카무봇 운영자들이 사용하는 전략은 트릭봇(TrickBot), 아이스드아이디(IcedID), 어즈니프(Ursnif)와 같은 사이버 범죄 단체들의 그것과 상당히 비슷하다고 한다. “전부 소셜 엔지니어링과 기술적 공격을 녹여 냄으로써 기업들을 주로 노린다는 특징을 공유하고 있습니다. 브라질에서 이는 굉장히 독특한 겁니다. 브라질에서 발견되는 사이버 공격은 주로 ‘전통의’ 해킹 기술을 기반으로 하고 있기 때문이죠.”
카무봇은 브라질에서 발견된 대부분의 멀웨어와 달리 피해자들에게 대담하게 접근한다고도 한다. “원래 멀웨어를 이용하는 공격자들은 자신의 멀웨어를 감추려고 하죠. 하지만 카무봇은 마치 보안 솔루션인 것처럼 스스로를 위장합니다. 은행 거래를 위해 반드시 설치해야 하는 그런 보안 프로그램 말이죠.”
엑스포스 팀은 “카무봇의 유행은 브라질 내에서는 물론 브라질 바깥으로까지 퍼져나갈 것”이라고 예상하고 있다. “먼저는 남아메리카 대륙에서 카무봇 공격이 일어나고 있나 살펴봐야 할 거 같습니다. 브라질에서 나와 남아메리카에서 카무봇이 발견되는 순간, 세계 금융권은 긴장해야 할 것입니다.”
3줄 요약
1. 브라질 금융 업계 노리는 것으로 유명한 카무봇 멀웨어, 최근 컴백.
2. 최근 카무봇 공격은 PC를 감염시킨 후 모바일 뱅킹 앱에까지 접근.
3. 이번 카무봇은 은행에서 제공하는 보안 프로그램인 것처럼 위장되어 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
