악성 PDF 파일 내용 (출처: FORTINET) 

PDF 파일에 삽입된 URL (출처: FORTINET) 

뱅킹 트로이 목마

최근 3월, 브라질 은행 사용자를 대상으로 하는 CHAVECLOAK라는 심각도가높은 트로이 목마가 발견 되었습니다. 뱅킹 트로이 목마는 주로 온라인 금융 시스템을 표적으로 삼아 정교하게 제작된 소프트웨어 프로그램을 위협하고 있으며, 사용자로부터 민감한 금융 정보를 훔치는 것을 목표로 하고 있습니다. 이러한 트로이 목마는 일반적으로 은밀하게 작동하여 피싱 이메일, 손상된 소프트웨어 또는 악성 웹 사이트와 같은 다양한 벡터를 통해 컴퓨터에 침투합니다. 

이 트로이 목마가 피해자의 장치에 침투하게 되면 키 입력 정보를 모니터링 및기록하거나 스크린 샷을 캡처하고, 웹 세션을 조작할 수 있는 능력을 가지게 됩니다. 그 결과로 로그인 자격 증명을 가로채어 사용자의 개인 정보나 금융 정보가 유출되어 금융 계좌에 대한 무단 액세스 및 사기 거래가 발생하는 경우로 이어집니다.  

CHAVECLOAK 공격 흐름도 CHAVECLOAK 공격 흐름  

CHAVECLOAK 공격 흐름

이 공격은 PDF 파일을 포함한 피싱 메일을 통해 전파됩니다. 사용자를 속여PDF 파일인 문서를 열면 내용 안에 전자 서명이 가능한 버튼이 있습니다. 실제로 버튼을 클릭하면 Goo.su URL 단축 서비스를 사용하여 원격 링크에서설치 파일을 검색을 합니다. 설치 파일 내에 존재하는 Lightshot.exe라는 실행 파일은 DLL 사이드 로딩을 활용하여 중요한 정보의 도난을 가능하게 하는CHAVE CLOAK 악성코드인 Lightshot.dll을 로드합니다. 이 악성코드는 시스템 메타데이터를 수집하고 브라질에 있는 손상된 시스템을 확인하기 위해 시스템을 검사합니다. 또한, victim 창을 모니터링하여 은행과 관련된 문자열을비교하고, 일치하면 C2 서버와 연결되어 다양한 종류의 정보를 수집하고 금융기관에 따라 서버의 고유한 해커 서버로 유출합니다. 이를 통해 운영자가 피해자의 화면을 차단하고, 키 입력을 기록하고, 사기성 팝업 창을 표시하도록 허용하는 등 피해자의 자격 증명을 훔치기 위한 다양한 전술을 사용합니다. 

결론

CHAVECLOAK 뱅킹 트로이 목마는 SMS, 이메일 피싱, 손상된 웹사이트를 통해 PDF, ZIP 파일 다운로드, DLL 사이드로딩 및 사기성 팝업을 활용하여 전파되는 심각한 사이버 위협입니다. 이 트로이 목마는 브라질의 금융 시장을 특히 목표로 하며, 개인정보 훔치기, 시스템 정보 스캔, 키스트로크 로깅 등을 통해 사용자의 은행 계정에 심각한 피해를 주고있습니다. 이러한 유사한 뱅킹 트로이 목마로부터 보호하기 위해 주의 깊은 행동 방침을 따르는 것이 중요합니다.

뱅킹 트로이 목마에 대한 보안 권장 사항

• 사용자는 의심스러운 이메일 또는 신뢰할 수 없는 출처에서 보낸 이메일 내에 링크 클릭이나 첨부 파일을 다운로드 수락 또는 실행해서는 안됩니다.

• 웹사이트 URL에 오타나 사소한 변형이 있는지 확인하고, 2단계 인증(2FA)을 활성화 하여 강력한 비밀번호를 사용해야합니다. 

• 운영체제, 웹 브라우저 및 보안 소프트웨어를 정기적으로 업데이트하여 새롭게 발견되는 악성코드로부터 보호할 수 있습니다. 

• 바이러스 백신 소프트웨어를 최신 상태로 유지해야 합니다.