사용자에겐 팩스 메시지처럼, 컴퓨터에겐 전혀 새로운 파일처럼
교묘하고 지능적이긴 하지만 결국 사용자 호기심 없이는 성립 불가

[보안뉴스 문가용] 트로이목마인 다이레자(Dyreza)를 설치하는 스팸 캠페인이 대규모로 진행 중에 있는 사실이 발견되었다. 목표는 민감한 금융 정보를 고객들로부터 훔치는 것으로 보안 전문업체인 비트디펜더(Bitdefender)가 최근 발견, 보도했다.

이번에 발견된 스팸 메시지들에는 악성 HTML 링크가 포함되어 있으며 클릭 시 굉장히 애매하게 만들어진 자바스크립트 코드가 삽입되어 있는 URL로 연결시킨다. 이 자바스크립트 코드는 집(zip) 파일을 자동으로 다운로드 시작한다.
 

 ▲ 가짜 메시지
중요한 건 다운로드를 받을 때마다 이 집 파일의 이름이 바뀐다는 것이다. 이름이 매번 바뀌기 때문에 백신 소프트웨어를 쉽게 우회할 수 있는 것. 이런 기술을 ‘서버 쪽 다형성(server-side polymorphism)’이라고 부른다. 쉽게 말해 악성 파일이 매번 다운로드 될 때마다 컴퓨터가 항상 이전에 없던 새로운 파일로 인식하게 하는 것이다.

그런데 서버 쪽 다형성 기능 자체는 이전에도 있어왔다. 이번 스팸이 갖는 차별성은 다운로드가 끝나면 자바스크립트 코드가 명령을 실행하여 사용자를 팩스 서비스 제공업체의 웹 사이트로 보낸다는 것이다. 그렇기 때문에 사용자는 방금 집 파일이 다운로드 되었는지 더더욱 알 길이 없어진다.
 

 ▲ 가짜 팩스 사이트

한편 다운로드를 받은 집 파일의 압축을 해제시키면 평범해 보이는 PDF 파일이 나온다. 그러나 이는 실행이 가능한 파일들로 PDF 아이콘만을 가지고 있을 뿐이다. 실행시키면 다운로더가 시작되며, 이 다운로더를 통해 다이레자 트로이목마가 추가로 시스템에 유입된다.

다이레자 혹은 다이어(Dyre)가 처음 발견된 건 2014년이다. 당시 악명을 떨치고 있었던 제우스(Zeus)와 굉장히 유사했다. 사용자 컴퓨터에 설치되고, 사용자가 특정 사이트에 로그인을 할 때만 활성화되었기 때문이다.

또한 브라우저 내 공격으로 해커들이 악성 자바스크립트 코드를 삽입하는 게 가능했고, 이 코드는 계정과 관련된 여러 정보를 훔쳐냈다. 그것도 아주 비밀스럽게 말이다.

비트디펜더의 멀웨어 분석팀은 이번 멀웨어 샘플을 더 세세히 조사해 목표가 된 웹 사이트들을 쭉 밝혀낼 수 있었다. 미국, 영국, 아일랜드, 독일, 호주, 루마니아, 이탈리아 등에 있는 유명 은행 및 은행 고객들이 줄줄이 걸려 나왔다.

다행인 건 공격 자체는 굉장히 고급스럽고 고차원적이지만 사용자가 이 집 파일을 직접 열어보기까지 해야만 성립된다는 것이다. 조금만 주의를 기울이고 조심해도 감염 가능성을 크게 줄이는 게 가능하다. 악성 링크들은 다음과 같다.
 

▲ 악성 링크들

이번 캠페인의 이름은 2201us라는 것으로 밝혀졌는데, 비트디펜더는 이를 공격의 날짜와 목표 국가를 나타낸 것으로 보고 있다. 이 해석을 따를 경우 2201us는 1월 22일 미국이라는 뜻이 된다. 사용자들의 각별한 주의가 요구된다.
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>