포스팅 내용

국내외 보안동향

BackSwap 악성코드, 은행 계좌에서 돈을 훔치기 위해 새로운 기술 구현해

BackSwap Trojan implements new techniques to steal funds from your bank account


보안 연구원들이 뱅킹 악성코드인 BackSwap의 새로운 변종을 발견했습니다. 이는 은행 고객들의 돈을 훔치기 위한 새로운 기술을 구현했습니다.


이 새로운 기술은 중간자 공격을 실행하기 위해 백신 및 브라우저의 보안 기능들을 우회합니다.


뱅킹 악성코드는 사용자가 은행 계좌에 접근 했을 때, 직접 또는 브라우저의 JavaScript 콘솔을 통해 악성코드를 주입합니다. 인젝션 메커니즘은 Dridex, Ursnif, Zbot, Trickbot, Qbot 등과 같은 뱅킹 악성코드에서 가장 널리 사용 되는 기술입니다.


최신 백신 제품들은 프로세스 인젝션 활동을 탐지해 이를 무력화할 수 있습니다. 이 때문에 사이버 범죄자들은 랜섬웨어, 가상화폐 마이너와 같은 수익성 높은 악성코드에 더욱 집중합니다.


BackSwap 악성코드는 브라우저 프로세스를 변경하지 않는 완전히 새로운 기술 3개를 사용합니다.


BackSwap이 구현한 첫 번째 기술은 사용자가 온라인 뱅킹 서비스에 접속하는 것을 탐지하고, 기본 윈도우 메커니즘인 “메시지 루프(message loop)”를 악용합니다.


연구원들은 “브라우저 활동을 모니터링 하기 위해 복잡한 프로세스 주입 방식을 사용하는 대신, 이 악성코드는 뱅킹 활동과 관련 된 윈도우 오브젝트의 값을 검사하기 위해 주요 윈도우 message loop 이벤트를 사용합니다.”


“이 악성코드는 EVENT_OBJECT_FOCUS, EVENT_OBJECT_SELECTION, EVENT_OBJECT_NAMECHANGE 등과 같은 윈도우 메시지 루프를 통해 찾을 수 있는 관련 된 이벤트의 특정 범위를 찾기 위하여이벤트 후크를 설치해 현재 방문 중인 URL을 모니터링합니다. 이 후크는 이벤트의 IAccessible 인터페이스를 통해 get_accValue 메쏘드를 호출해 오브젝트에서 “https”로 시작하는 문자열을 검색해 URL 패턴을 찾습니다.”고 밝혔습니다.


BackSwap은 윈도우의 메시지 루프를 이용해 “https” 문자열이나 은행의 웹사이트와 관련 있는 용어 등을 포함한 URL 패턴을 찾습니다.


브라우저가 은행의 웹사이트에 접근 중이라는 것을 악성코드가 발견할 경우, 이는 키 입력을 가장해 해당 은행에 적합한 JavaScript를 주입합니다.


“예전 샘플들에서, 이 악성코드는 악성 스크립트를 클립보드에 복사한 후 개발자 콘솔을 오픈하는 키조합 (구글 크롬 - CTRL+SHIFT+J, 모질라 파이어폭스 - CTRL+SHIFT+K) 을 사용한 후 CTRL+V를 눌러 클립보드의 내용을 붙여 넣고 엔터를 눌러 콘솔의 내용을 실행시킵니다. 마지막으로 콘솔을 닫기 위해 콘솔 키 조합을 다시 한번 누릅니다. 이 과정 중 브라우저 창은 보이지 않는 상태가 됩니다. 일반적인 사용자에게는 브라우저가 잠시 동안 멈췄던 것처럼 보일 수 있습니다.”


“악성코드의 최신 버전에서는 이 방법이 업그레이드 되었습니다. 개발자 콘솔과 상호작용 하는 대신 JavaScript 프로토콜을 사용해 주소 창에서 악성 코드를 직접 실행합니다. 이는 대부분의 브라우저에서 지원하지만 잘 사용 되지 않는 기능입니다. 


악성코드는 CTRL+L을 눌러 주소창을 선택하고 DELETE 키를 눌러 내용을 삭제 후 SendMessageA를 호출해 “javascript:”를 입력한 후 CTRL+V를 눌러 악성 스크립트를 붙여 넣습니다. 이후 엔터키를 눌러 스크립트를 실행시킵니다. 그리고 흔적을 삭제하기 위해 주소 창의 내용을 지웁니다.”


BackSwap 악성코드의 현재 버전은 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러 등 널리 사용되는 대부분의 브라우저에 적용이 가능합니다.


전문가들은 다른 악성코드들이 단기간에 동일한 기능을 도입할 것이라 추측했습니다. 이 기능은 구현이 쉬우며 매우 효과적이기 때문입니다.


연구원들은 BackSwap의 현재 버전이 폴란드 은행 5곳인 PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING, Pekao과 상호 작용하기 위한 스크립트를 포함하고 있다고 밝혔습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.BackSwap.A로 탐지중에 있습니다. 






출처 :

https://securityaffairs.co/wordpress/72983/malware/backswap-trojan-techniques.html

https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/



티스토리 방명록 작성
name password homepage