사이버 보안 기업 이셋코리아가 15일 라틴아메리카 뱅킹 트로이 목마인 ‘Casbaneiro’를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 권고했다.
이셋에 따르면 Casbaneiro는 이전에 발견된 ‘Amavaldo’ 맬웨어와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있다. 이 맬웨어는 사회공학기법을 이용해 피해자를 속이면서 Amavaldo의 가짜 팝업창 및 입력 폼을 모방한다.
이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도한다.
피해자의 기기에 침투한 후에는 백도어 명령을 사용해 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록한다.
또 Casbaneiro는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용된다. 이러한 데이터가 발견되면 맬웨어는 해당 데이터를 공격자의 암호화폐 지갑으로 대체한다.
Casbaneiro 맬웨어는 여러 암호화 알고리즘을 이용해 실행 파일 내의 문자열을 가리고 다운로드한 페이로드 및 구성 데이터를 해독하는 데 사용된다. Casbaniero의 초기 매개체는 악성 이메일인데 이는 Amavaldo가 사용한 것과 같은 수법이다.
Casbaneiro의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동이다.
C&C 서버는 가짜 DNS 항목이나 구글 독스(Google Docs)에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있다.
경우에 따라 C&C 서버 도메인은 암호화돼 합법적인 웹사이트에 숨겨져 있는 경우도 있는데 특히 유튜브에 저장된 여러 동영상의 설명에서 두드러진다. Casbaneiro는 주로 브라질 및 멕시코 은행 응용 프로그램을 대상으로 한다. [파이낸셜신문=이광재 기자 ]
