TRICKBOT 악성코드, 미국의 은행들 노려

최근 Trickbot 뱅킹 악성코드가 Necus 봇넷의 도움을 받는 새로운 스팸 캠페인을 통하여 미국의 은행을 노리는 것으로 나타났습니다. 이 악성코드는 맞춤 리다이렉션 메쏘드를 도입하여 더욱 강력해졌습니다. 

최근 보안연구원들은 새로운 Trickbot의 활동을 발견했습니다.

연구원들에 따르면, 금주 초에 보고된 Trickbot 공격의 스팸 캠페인들은 지난 몇 달 동안 활성화 되어있었습니다. 

Trickbot은 2016년 중반부터 중간자 공격을 담당해 왔으나, 이 악성코드의 webinject 구성은 미국 이외의 금융 기관들만을 타겟으로 했었습니다. 

하지만 Necurs 봇넷의 도움을 받아, webinject의 구성을 확장시켜 국제 및 미국의 금융 기관들까지도 타겟으로 하도록 개발되었습니다. 

연구원들은 Necurs는 3가지 스팸 캠페인에 사용되었다고 밝혔습니다.  "이 악성 이메일들은 zip으로 압축 된 난독화 JavaScript 코드로 이루어진 Windows Script File(WSF) 파일을 첨부하고 있습니다. 이를 클릭하면 파일이 다운로드 되고 Trickbot 로더가 실행됩니다"

실행 후, 이 악성코드는 모듈을 주입하기 전 “CREATE_SUSPENDED” 플래그를 사용해 프로세스를 생성하고, 트로이목마를 실행하는데 사용 된 초기 쓰레드를 종료시킵니다. 감염이 진행 되면, 모듈을 인젝션 하고 초기 쓰레드를 “%APPDATA%”에 폴더를 생성해 자기 자신을 복사후 “%TEMP%”에 루트 인증서를 등록하고, “update[.]job”을 서비스로 등록해 윈도우의 작업 폴더에 지속적으로 생존하고자 합니다. 

Trickbot의 특이한 점은, 피해자들이 금융 기관을 방문할 때 HTML이나 JavaScript 인젝션을 이용하는 맞춤 리디렉션 공격을 사용한다는 점입니다. 별다른 의심을 가지지 않은 피해자들은 악성 사이트로 이동 되는 동시에, 악성코드는 은행의 진짜 웹페이지에 연결해 실시간 연결을 유지합니다.

연구원들은 “이 가짜 페이지는 주소 창에 은행의 정확한 URL 및 정품 디지털 인증서도 표시합니다. 사용자는 악성 사이트에 방문했다는 사실조차 모를 가능성이 높습니다.”고 밝혔습니다.

연구원들은 “감염 된 피해자들을 은행의 정식 웹사이트에서 자연스럽게 이동시킴으로써, 악성코드 운영자는 웹 인젝션을 사용해 로그인 정보, PII, 중요한 인증 코드 등을 훔쳐낼 수 있게 됩니다. 은행은 피해자의 세션이 탈취당했는지 알 수 없으며, 가짜 사이트에서 일어나는 일을 알아낼 수 없게 됩니다.”고 밝혔습니다.

현재 이스트시큐리티 알약에서는 해당 악성코드에 대하여 'Backdoor.Agent.Trickbot'로 탐지하고 있습니다. 

출처 : 

https://threatpost.com/trickbot-malware-now-targets-us-banks/126976/