고도의 공격자들이 나타나 멀웨어가 숨겨진 PNG 파일을 흩뿌리기 시작했다. 그러면서 다단계의 공격이 시작되는데, 여기에는 새로운 멀웨어도 등장한다. 공격자들이 결국 노리는 건 암호화폐다.
[보안뉴스 문정후 기자] 러시아어를 구사하는 공격자들이 새로운 로더를 활용한 공격 기술을 선보이고 있다. PNG 이미지 파일을 활용해 멀웨어를 심는 것이다. 멀웨어는 주로 암호화폐를 탈취하거나 사업 계정 정보를 훔치는 기능을 가지고 있는 것들인 것으로 분석됐다. 다단계로 실행되는 이 공격은 유럽, 미국, 남아메리카의 기업들을 노리고 있다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다.
[이미지 = gettyimagesbank]
공격의 시작은 더블핑거(DoubleFinger)라는 로더형 멀웨어로부터 시작된다. 더블핑거는 악성 코드가 숨겨져 있는 이미지 파일을 피해자의 컴퓨터에 심는 역할을 담당한다. 그러면 이 이미지는 피해자의 컴퓨터에 그리팅구울(GreetingGhoul)이라는 멀웨어를 설치한다. 그리팅구울은 새롭게 등장한 정보 탈취형 멀웨어로, 암호화폐 관련 크리덴셜을 훔치도록 설계되어 있다.
문제는 이 더블핑거라는 멀웨어가 단지 암호화폐를 훔치려는 공격에만 활용되는 게 아니라는 것이다. 현재까지 더블핑거르르 거쳐 렘코스(Remcos)라는 RAT 멀웨어가 설치되는 경우도 있었다고 카스퍼스키는 설명한다. 렘코스는 금전적 이득을 위해 공격을 실시하는 해커들 사이에서 인기가 높은 도구다. “일단 렘코스가 한 번 기업 내부 네트워크에 안착하면 추가로 이어지는 공격을 막는 게 대단히 어려워집니다. 렘코스부터 막는 게 가장 좋습니다.”
악성 코드를 분석했을 때 러시아어로 된 아티팩트들이 발견됐다. 배후의 공격자들이 러시아인이거나 옛 소련 소속 국가의 출신일 가능성이 높다는 뜻이다. 그러나 카스퍼스키는 “러시아어 글자 몇 개 나왔다고 해서 구 소련 소속 국가 출신이 공격자라고 확정지어 결론을 내리기는 힘들다”고 덧붙였다. “추적을 따돌리기 위해 이런 시선 돌리기용 장치를 하는 경우가 상당히 많거든요.”
암호화폐 탈취를 위한 스테가노그래피
공격자들은 더블핑거를 피해자의 시스템에 심기 위해 피싱 이메일을 보낸다. 이 이메일에는 PIF 파일이 첨부되어 있고, 피해자가 이 파일을 클릭하면 여러 단계를 거쳐 악성 셸코드가 실행돼 PNG 이미지 파일 하나가 imgur.com에서부터 다운로드 된다. 이미지는 평범해 보이지만 그 안에는 악성 코드가 숨겨져 있다. 셸코드는 다운로드 된 PNG 파일에서 문자열을 하나 찾기 시작하는데, 그건 바로 0xea79a5c6이다. 암호화된 페이로드가 숨겨져 있는 문자열이다.
페이로드의 정체는 위에서도 언급한 그리팅구울이다. 아닐 때도 있지만 거의 대부분이 그리팅구울이라고 카스퍼스키는 짚었다. “그리팅구울은 정보 탈취를 위해 만들어진 멀웨어입니다. 크게 두 개의 중요한 기능을 가지고 있지요. 하나는 피해자의 암호화폐 지갑 앱을 찾아내는 것이고 다른 하나는 해당 지갑의 크리덴셜을 훔쳐내는 것입니다. 그리팅구울은 웹 코드를 데스크톱 앱에 임베드 하는 도구인 MS 웹뷰2(MS WebView 2)를 활용해 피싱 페이지를 정상적인 암호화폐 지갑 인터페이스 위에 덧입히는 오버레이 공격을 실시합니다. 예전 뱅킹 트로이목마들이 하던 것을 그대로 하는 것이죠.”
오버레이 공격은 일반 사용자가 맨눈으로 간파하기 매우 어렵다. 매번 아무렇지 않게 사용하던 인터페이스 위에 투명 막을 씌운 것이기 때문이다. 피해자 입장에서는 늘 하던 대로 정보를 입력할 뿐인데 그 정보가 사실은 투명 막 위에 작성되어 공격자들에게 전달되는 것이다. 주로 금융 관련 정보가 이런 식으로 공격자의 손에 넘어가는 경우가 많다. 그러므로 금융 앱이나 암호화폐 지갑 앱을 사용하는 사람들이라면 주기적으로 비밀번호를 바꾸는 것이 안전하다고 카스퍼스키는 설명한다.
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 러시아어를 구사하는 공격자들이 새로운 로더를 활용한 공격 기술을 선보이고 있다. PNG 이미지 파일을 활용해 멀웨어를 심는 것이다. 멀웨어는 주로 암호화폐를 탈취하거나 사업 계정 정보를 훔치는 기능을 가지고 있는 것들인 것으로 분석됐다. 다단계로 실행되는 이 공격은 유럽, 미국, 남아메리카의 기업들을 노리고 있다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다.
[이미지 = gettyimagesbank]
공격의 시작은 더블핑거(DoubleFinger)라는 로더형 멀웨어로부터 시작된다. 더블핑거는 악성 코드가 숨겨져 있는 이미지 파일을 피해자의 컴퓨터에 심는 역할을 담당한다. 그러면 이 이미지는 피해자의 컴퓨터에 그리팅구울(GreetingGhoul)이라는 멀웨어를 설치한다. 그리팅구울은 새롭게 등장한 정보 탈취형 멀웨어로, 암호화폐 관련 크리덴셜을 훔치도록 설계되어 있다.
문제는 이 더블핑거라는 멀웨어가 단지 암호화폐를 훔치려는 공격에만 활용되는 게 아니라는 것이다. 현재까지 더블핑거르르 거쳐 렘코스(Remcos)라는 RAT 멀웨어가 설치되는 경우도 있었다고 카스퍼스키는 설명한다. 렘코스는 금전적 이득을 위해 공격을 실시하는 해커들 사이에서 인기가 높은 도구다. “일단 렘코스가 한 번 기업 내부 네트워크에 안착하면 추가로 이어지는 공격을 막는 게 대단히 어려워집니다. 렘코스부터 막는 게 가장 좋습니다.”
악성 코드를 분석했을 때 러시아어로 된 아티팩트들이 발견됐다. 배후의 공격자들이 러시아인이거나 옛 소련 소속 국가의 출신일 가능성이 높다는 뜻이다. 그러나 카스퍼스키는 “러시아어 글자 몇 개 나왔다고 해서 구 소련 소속 국가 출신이 공격자라고 확정지어 결론을 내리기는 힘들다”고 덧붙였다. “추적을 따돌리기 위해 이런 시선 돌리기용 장치를 하는 경우가 상당히 많거든요.”
암호화폐 탈취를 위한 스테가노그래피
공격자들은 더블핑거를 피해자의 시스템에 심기 위해 피싱 이메일을 보낸다. 이 이메일에는 PIF 파일이 첨부되어 있고, 피해자가 이 파일을 클릭하면 여러 단계를 거쳐 악성 셸코드가 실행돼 PNG 이미지 파일 하나가 imgur.com에서부터 다운로드 된다. 이미지는 평범해 보이지만 그 안에는 악성 코드가 숨겨져 있다. 셸코드는 다운로드 된 PNG 파일에서 문자열을 하나 찾기 시작하는데, 그건 바로 0xea79a5c6이다. 암호화된 페이로드가 숨겨져 있는 문자열이다.
페이로드의 정체는 위에서도 언급한 그리팅구울이다. 아닐 때도 있지만 거의 대부분이 그리팅구울이라고 카스퍼스키는 짚었다. “그리팅구울은 정보 탈취를 위해 만들어진 멀웨어입니다. 크게 두 개의 중요한 기능을 가지고 있지요. 하나는 피해자의 암호화폐 지갑 앱을 찾아내는 것이고 다른 하나는 해당 지갑의 크리덴셜을 훔쳐내는 것입니다. 그리팅구울은 웹 코드를 데스크톱 앱에 임베드 하는 도구인 MS 웹뷰2(MS WebView 2)를 활용해 피싱 페이지를 정상적인 암호화폐 지갑 인터페이스 위에 덧입히는 오버레이 공격을 실시합니다. 예전 뱅킹 트로이목마들이 하던 것을 그대로 하는 것이죠.”
오버레이 공격은 일반 사용자가 맨눈으로 간파하기 매우 어렵다. 매번 아무렇지 않게 사용하던 인터페이스 위에 투명 막을 씌운 것이기 때문이다. 피해자 입장에서는 늘 하던 대로 정보를 입력할 뿐인데 그 정보가 사실은 투명 막 위에 작성되어 공격자들에게 전달되는 것이다. 주로 금융 관련 정보가 이런 식으로 공격자의 손에 넘어가는 경우가 많다. 그러므로 금융 앱이나 암호화폐 지갑 앱을 사용하는 사람들이라면 주기적으로 비밀번호를 바꾸는 것이 안전하다고 카스퍼스키는 설명한다.
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
