상세 컨텐츠

본문 제목

두 개의 서비스형 해킹 플랫폼 발견!

국내외 보안동향

by 알약(Alyac) 2017. 7. 18. 11:30

본문

Two New Platforms Found Offering Cybercrime-as-a-Service to 'Wannabe Hackers'


지난 몇 년 동안, 서비스형 악성코드(MaaS)의 인기가 크게 급증하였습니다. 


현재 MaaS는 암시장에서 큰 인기를 끌고 있는 사업으로, 서비스형 랜섬웨어, 서비스형 DDoS, 서비스형 피싱 등을 제공합니다. 


이러한 서비스 중 최근에 발견된 2개의 플랫폼에 대해 소개를 해드리겠습니다. 


Ovidiy Stealer - $7 계정 탈취 악성코드



주로 웹 브라우저를 타겟으로 하는 새로운 계정 탈취 악성코드가 아주 저렴한 가격인 $7에 러시아 포럼에서 판매되고 있습니다. 이로서 얕은 기술적 지식만을 가지고도 원하는 만큼 컴퓨터를 해킹 할 수 있습니다. 


Ovidiy Stealer 명명된 이 악성코드는, 지난달 처음 발견되었지만,  러시안 제작자들이 꾸준히 업데이트하고 범죄자들이 적극적으로 사용하고 있는 것으로 확인되었습니다. 


보안 연구원들에 의하면, 이 악성코드는 여러 버전이 존재하며, 영국, 네덜란드, 인도, 러시아 등 전 세계 사람들을 타겟으로 하고 있습니다. 


놀라운 점은, Ovidiy Stealer는 450~750루블(약 7~13달러)로 매우 저렴할 뿐만 아니라, 낮은가격에도 불구하고 악성코드의 실행파일들은 암호화가 되어 있어 탐지 및 분석이 어렵습니다. 


.NET으로 작성 된 이 계정탈취 악성코드는 구글 크롬, 오페라, FileZilla, Amigo, Kometa, Torch,  Orbitum을 포함한 프로그램들 및 브라우저들 다수를 타겟으로 하지만, 구매자들은 단일 브라우저에서만 작동하는 버전을 구매할 수도 있습니다.


이 악성코드는 악성 이메일 첨부파일, 악성 링크, 다양한 파일 호스팅 웹사이트에서 제공하는 가짜 소프트웨어 및 툴의 형태로, 소프트웨어 패키지 안에 포함되는 등 다양한 방식을 통해 배포 됩니다.


하지만 Ovidiy Stealer는 재부팅 후에도 유지될 수 있는 메커니즘을 포함하고 있지 않기 때문에, 그다지 강력하지는 않지만 널리 보급 될 수 있는 있습니다.


Ovidiy Stealer는 C&C 서버와의 안전한 통신을 위해 SSL/TLS 연결을 사용합니다. 러시안 도메인에서 호스팅 되고 있으며, 악성코드를 판매한 곳과 동일한 도메인을 사용합니다.


Hackshit – 지금까지의 피싱들 보다 훨씬 쉬운 피싱!




보안 연구원들은 또 다른 서비스형 범죄 소프트웨어인 저비용 서비스형 피싱(PhaaS) 플랫폼을 발견했습니다.


Hackshit이라 명명 된 이 PhaaS 플랫폼은 쉽게 돈을 벌 수 있는 해킹 메뉴얼들 및 트릭들을 시험해 볼 수 있는 무료 평가판 계정을 제공해 고객들에게 어필합니다.


Hackshit은 공격자들이 야후, 페이스북, 구글의 지메일을 포함한 다수의 서비스를 위한 그들의 고유한 피싱 페이지를 생성할 수 있도록 합니다.


연구원들은 이 피싱페이지들이 데이터 URI scheme을 사용해 base64로 인코딩 된 컨텐츠를 “백신탐지를 피하기 위해 “.moe” 최상위 도메인(TLD)와 함께 안전한 HTTPS 웹사이트”를 통해 제공한다고 설명했습니다.


또한 HackShit 웹사이트는 웹 서버들에 무료 SSL/TLS를 발행해주는 기관인 Let’s Encrypt에서 발행한 SSL 인증서를 사용하여 HTTPS 구현을 더욱 쉽게 합니다.






참고 : 


관련글 더보기

댓글 영역