이셋 "온라인뱅킹 트로이목마 ‘Guildma’ 주의"...스팸 메일 통해 전파
이셋 "온라인뱅킹 트로이목마 ‘Guildma’ 주의"...스팸 메일 통해 전파
  • 이광재 기자
  • 승인 2020.03.10 15:27
  • 댓글 0
이 기사를 공유합니다

ESET(이셋)의 국내 법인 이셋코리아가 ‘Guildma’ 트로이목마에 대한 분석 내용을 10일 발표했다.

이셋에 따르면 이 맬웨어는 라틴 아메리카 지역에서 가장 영향력 있고 진보된 온라인 뱅킹 트로이목마다.

이 맬웨어는 금융 기관을 대상으로 하며 브라질 내의 이메일 계정, 온라인 상점, 스트리밍 서비스의 자격 증명을 도용하려는 시도를 하며 이셋 리서치에서 분석한 다른 라틴 아메리카 지역 뱅킹 트로이목마보다 최소 10배 이상의 피해자에게 영향을 미친다.

(제공=이셋코리아)
(제공=이셋코리아)

2019년 대규모 캠페인 동안 이셋은 매일 최대 5만건의 공격을 기록했다. Guildma는 악성 첨부 파일이 있는 스팸 메일을 통해서만 전파된다.

Guildma는 최신 버전 중 하나에서 유튜브 및 페이스북 프로필을 오용해 C&C(명령 및 제어)서버를 배포하는 새로운 방법을 사용한다. 그러나 제작자는 즉시 페이스북 사용을 중단했으며 적어도 지금은 유튜브만 사용하고 있다.

Guildma 분석팀을 이끌고 있는 이셋 로버트 슈먼(Robert Šuman) 연구원은 “Guildma는 매우 혁신적인 실행 방법과 정교한 공격 기술을 사용한다. 실제 공격은 C&C 서버에 의해 조정된다. 이를 통해 맬웨어 제작자는 대상 은행이 구현한 대응책에 보다 유연하게 대응할 수 있다”고 설명했다.

2019년 7월 이후의 1단계 Guildma 탐지 (제공=이셋코리아)
2019년 7월 이후의 1단계 Guildma 탐지 (제공=이셋코리아)

Guildma는 스크린샷 촬영, 키 입력 캡처, 키보드 및 마우스 에뮬레이션, 바로 가기 차단(예: Alt+F4를 비활성화해 표시되는 가짜 창을 제거하기 어렵게 함), 파일 다운로드 및 실행, 시스템 재부팅 등 다양한 기능을 갖춘 백도어를 자랑한다.

또 Guildma는 모듈형이며 현재 최소 10개의 모듈로 구성돼 있다. 맬웨어는 컴퓨터에 이미 있는 도구를 사용하고 고유한 자체 기술을 재사용한다.

슈먼은 “새로운 기술은 가끔씩 추가되지만 대부분의 경우 개발자는 단순히 이전 버전의 기술을 재사용하는 것 같다”고 말했다.

이셋서 분석한 최신 버전 Guildma 배포망(버전 150) (재공=이셋코리아)
이셋서 분석한 최신 버전 Guildma 배포망(버전 150) (재공=이셋코리아)

2019년 이전 버전 중 하나에서 Guildma는 브라질 이외의 기관(주로 은행)을 대상으로 하는 기능을 추가했다. 그럼에도 불구하고 지난 14개월 동안 이셋은 브라질 외에는 어떠한 국제적인 움직임을 보지 못했다. 공격자들은 브라질 이외의 IP 주소에서 다운로드되는 것을 차단하기까지 했다.

Guildma 캠페인은 ESET 리서치가 하루에 최대 5만개의 샘플을 기록한 2019년 8월 이전까지 서서히 증가했다. 이 캠페인은 거의 2개월간 진행되었으며 10개월 전에 발견된 탐지량의 두 배 이상을 차지했다.

이 트로이목마는 개발 과정에서 여러 버전을 거치는 것처럼 보였지만 투박한 아키텍처로 인해 버전 간 발전은 거의 없었다.[파이낸셜신문=이광재 기자 ]

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228
  • 등록일자 : 2009-4-10
  • 발행일자 : 2009-4-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 발행일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트