뱅킹 악성코드, 페이스북, 트위터 심지어 지메일 계정도 탈취할 수 있어

Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts

<이미지 출처: https://labs.bitdefender.com/2017/11/terdot-zeus- based-malware- strikes-back- with-a-

blast-from- the-past/>

보안 전문가들이 새롭고 정교한 형태의 멀웨어를 발견했습니다. 이는 악명높은 Zeus 뱅킹 트로이목마를 기반으로 하며, 은행 계좌 정보 뿐 아니라 다른 정보들도 탈취합니다. 

Terdot이라 명명 된 이 뱅킹 트로이목마는 2016년 중반부터 활동했으며, 저장 된 신용 카드 정보, 계정정보 등 브라우징 정보를 탈취하고 방문한 사이트에 HTML 코드 인젝션을 실행하기 위한 중간자 공격용 프록시로써 동작하도록 설계 되었습니다.

하지만, 연구원들은 이 뱅킹 트로이목마가 더욱 진화해 소셜 미디어 및 이메일 계정에 접근해 감염 된 피해자 대신 글을 올리는 등의 행동을 위해 SSL 인증서를 스푸핑하기 위한 오픈소스 툴을 사용하는 등 새로운 스파잉 기능을 추가했다고 밝혔습니다.

Terdot 뱅킹 트로이목마는 이러한 공격을 위해 고도로 커스터마이징 된 MITM 프록시를 사용합니다.

이는 멀웨어가 감염 된 컴퓨터의 어떠한 트래픽에라도 인터셉트할 수 있도록 허용합니다.

이 외에도, 멀웨어가 공격자의 명령에 따라 새로운 파일을 다운로드 및 실행할 수 있는 자동화 된 업데이트 기능을 포함하고 있습니다.

일반적으로, Terdot은 Royal Bank, Banque Nationale, PCFinancial, Desjardins, BMO (Bank ofMontreal), Scotiabank 등 다수의 캐나다의 기관들을 타겟으로 했었습니다.

당신의 페이스북 계정, 트위터, Gmail 계정도 탈취할 수 있어

하지만 최근 분석에 따르면, Terdot은 페이스북, 트위터, 구글 플러스, 유튜브를 포함한 소셜 미디어 및 Gmail, live.com, Yahoo 메일 등과 같은 이메일 서비스 제공자들도 타겟으로 하고 있습니다.

흥미롭게도, 이 멀웨어는 러시아 최대 소셜 미디어 플랫폼인 VKontakte (vk.com)과 관련한 데이터는 수집하지 않는 것으로 나타났습니다. 이로써 새로운 변종의 배후에 동유럽 공격자들이 있을 수 있다고 추측할 수 있습니다.

이 뱅킹 트로이목마는 SunDown 익스플로잇 키트에 감염 된 웹사이트들을 통해 배포 되고 있으며, 가짜 PDF 아이콘 버튼을 사용한 파일 형태로 악성 이메일에 첨부 된 사례도 발견되었습니다. 

클릭할 경우, 멀웨어를 다운로드 하고 실행하는 난독화 된 JavaScript 코드를 실행합니다. 탐지를 피하기 위해 이 트로이목마는 드롭퍼, 인젝션, 다운로더를 포함한 복잡한 체인을 사용해 Terdot의조각들을 다운로드 합니다.

감염 되면, 이 트로이목마는 자기 자신과 웹 프록시와의 직접적인 연결, 트래픽 읽기, 스파이웨어 주입 등을 위해 자기 자신을 브라우저 프로세스에 주입합니다. 또한 피해자의 요청을 감시하거나 응답에 스파이웨어 JavaScript 코드를 주입함으로써 인증 정보를 훔칠 수 있습니다. 

또한 Terdot은 고유의 CA를 생성하고 피해자가 방문하는 모든 도메인에 대한 인증서를 생성하는 방식으로 TLS의 제한사항들을 우회할 수 있습니다.

Terdot은 피해자가 은행으로 보내는 모든 데이터나 소셜 미디어 계정에 실시간으로 인터셉트 하여 수정할 수 있으며, 이로써 멀웨어 스스로 악성 링크를 피해자의 계정으로 포스팅 해 자기 자신을 퍼뜨릴 수 있게 됩니다.

더욱 자세한 정보는 여기에서 찾아볼 수 있습니다.

출처 :

https://thehackernews.com/2017/11/facebook-twitter-hack.html

https://labs.bitdefender.com/2017/11/terdot-zeus-based-malware-strikes-back-with-a-blast-from-the-

past/