이셋코리아가 29일 코로나19 팬데믹을 악용하는 ‘Grandoreiro’ 트로이목마에 대해 주의를 권고했다.
Grandoreiro는 브라질, 멕시코, 스페인 및 페루의 사용자를 타깃으로 한다. 스팸메일을 통해 배포된 이 트로이목마는 최근 세계적으로 유행 중인 코로나19 전염병을 악용하는 가짜 웹사이트를 사용하기 시작했다.
또 Grandoreiro 제작자들은 안티 맬웨어 프로그램의 탐지를 회피하기 위해 지속적인 노력을 하고 있는 것으로 밝혀졌다.
Grandoreiro가 주로 스팸을 통해 배포되고 이 트로이목마 제작자들은 일반적으로 가짜 자바 또는 플래시 업데이트를 사용해 왔으나 최근 들어 코로나19 관련 사기 행위로의 전환이 관찰됐다.
이 트로이목마는 가짜 웹사이트에서 코로나19 바이러스에 대한 주요 정보를 담은 비디오를 숨기고 있다. 그러나 동영상을 클릭하면 영상이 재생되지 않고 사이트 방문자의 기기에 페이로드가 다운로드된다.
Grandoreiro는 2017년부터 브라질과 페루에서 활동했고 2019년에는 그 영역을 멕시코와 스페인으로 확장했다. 이러한 종류의 다른 라틴 아메리카 뱅킹 트로이목마와 마찬가지로 Grandoreiro는 민감한 정보를 공개하도록 가짜 팝업창을 표시해 피해자를 공격한다.
Grandoreiro는 윈도 조작, 자체 업데이트, 키 입력 캡처, 마우스 및 키보드 동작 시뮬레이션, 브라우저를 특정 URL로 연결, 컴퓨터 로그아웃 및 재시작, 웹 사이트에 액세스 차단 등의 백도어 기능을 갖고 있다.
Grandoreiro는 영향을 받는 컴퓨터에 대한 다양한 정보를 수집하며 일부 버전에서는 마이크로소프트 아웃룩 브라우저에 저장된 데이터 뿐 아니라 크롬에 저장된 자격 증명도 훔친다.
Grandoreiro를 분석하는 팀을 이끌고 있는 이셋 연구원 로버트 슈만(Robert Šuman)은 “Grandoreiro는 놀랍게도 수많은 트릭을 사용해 탐지 및 에뮬레이션을 피한다. 여기에는 뱅킹 보호소프트웨어를 감지하거나 비활성화하는 많은 기술이 포함된다. 또 그들은 뱅킹 트로이 목마를 매우 빠르게 개발하고 있는 것 같다. 우리가 탐지한 이 트로이목마의 모든 새 버전에는 몇 가지 변경 사항이 있으며 최소한 두 가지 변종을 동시에 개발하고 있는 것으로 의심된다. 흥미롭게도 기술적 관점에서 볼 때 그들은 유효한 파일을 유지하면서 패딩을 제거하기 어려운 바이너리 패딩 기술의 매우 특정한 애플리케이션을 활용한다”고 설명했다.
대부분의 라틴 아메리카 뱅킹 트로이 목마와 달리 Grandoreiro는 매우 작은 배포망을 사용하며 배포 활동마다 다른 유형의 다운로더를 선택할 수도 있다. 이 다운로더는 종종 GitHub, Dropbox, Pastebin, 4shared 또는 4Sync와 같이 잘 알려진 공용 온라인 공유 서비스에 저장된다.[파이낸셜신문=이광재 기자 ]
