보안 모듈로 위장한 새로운 뱅킹 악성코드 발견

New Banking Trojan Poses As A Security Module

기존의 악성코드와는 다른 전략을 사용하는 새로운 뱅킹 악성코드가 발견 되었습니다. 이는 눈에 보이는 설치, 소셜 엔지니어링 컴포넌트를 추가했습니다.

CamuBot은 지난 달 브라질에서 발견 되었으며, 공공 기업 및 조직을 노립니다. 피해자들은 은행 직원으로 위장한 공격자들의 지시에 따라 악성코드를 설치한 사람들입니다.

소셜 엔지니어링의 정석

이 악성코드는 은행의 로고와 브랜드 이미지를 사용해 보안 어플리케이션으로 위장합니다.

IBM X-Force 연구 팀은 블로그를 통해 “CamuBot 운영자들은 공격을 실행하기 위해 특정 금융 기관과 거래하는 은행을 찾기 위한 정찰을 시작했습니다. 그런 다음, 기업의 은행 계좌 크리덴셜을 가지고 있는 것으로 추정 되는 사람에게 전화 통화를 시도합니다.”고 밝혔습니다.

공격자들은 현재 은행의 보안 모듈의 유효성을 확인해야 한다는 핑계를 대며 가짜 보안 툴을 설치하도록 유도합니다.

타겟이 거래하는 은행의 금융 직원 행세를 하며, 이 공격자는 피해자에게 소프트웨어가 구버전이라는 것을 보여주는 웹사이트를 로드하도록 요청합니다.

공격자는 문제 해결을 위해서는 관리자 권한으로 온라인 뱅킹을 위한 새로운 모듈을 다운로드 및 설치 해야 한다고 속입니다.

피해자의 시스템에서 이루어지는 사기성 거래

CamuBot의 루틴은 기기에서 SSH 기반의 SOCKS 프록시를 설정하고 포트 포워딩을 활성화 하는 것을 포함합니다. 이 행동의 목적은 양방향 통신 터널을 설정해 공격자들이 해킹한 은행 계좌에 접근할 때 피해자의 IP를 사용하도록 하기 위함입니다.

온라인 뱅킹 계좌의 로그인 크리덴셜은 피싱을 통해 얻습니다. CamuBot이 설치 되면, 이는 타겟 은행의 가짜 웹사이트를 열고 피해자에게 로그인을 요청해 공격자에게 정보를 보내도록 합니다.

안티바이러스와 방화벽 탐지를 우회하기 위해, 이 악성코드는 보안툴들의 승인 프로그램 리스트에 자기 자신을 추가합니다.

더욱 강력한 방어막을 대비한 Camubot

악성코드 제작자들은 이중 인증을 요구하는 상황에서도 공격이 성공할 수 있도록 만들었습니다.

두 번째 인증 시도에 감염 된 컴퓨터와 연결 된 기기가 요구될 경우, CamuBot은 이를 인식해 올바른 드라이버를 설치합니다. 이후 공격자는 전화를 통해 피해자에게 보안 코드를 공유하라고 요청합니다.

“OTP를 손에 넣은 공격자는 사기 거래를 시도할 수 있으며, 그들의 IP주소로 터널링해 은행 측이 해당 세션을 정상적으로 인식하게 할 수 있습니다.”

연구원들은 CamuBot의 공격은 개인 맞춤형이며, 브라질의 기업들만 노리고 있으며 다른 국가에서는 공격이 발견 되지 않았다고 밝혔습니다.

이 공격은 소셜 엔지니어링에 많은 부분을 의존하고 있지만, 공격자는 아주 적절한 트릭을 사용해 많은 사람들이 이에 속을 수 있을 것으로 보입니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.CamuBot로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/new-banking-trojan-poses-as-a-security-module/

https://securityintelligence.com/camubot-new-financial-malware-targets-brazilian-banking-customers/