다크 테킬라 뱅킹 악성코드, 활동한지 5년만에 발견 돼

Dark Tequila Banking Malware Uncovered After 5 Years of Activity

카스퍼스키 랩의 보안 연구원들이 최소 2013년부터 멕시코의 은행 기관들을 노려온 매우 복잡한 악성 캠페인을 발견했습니다.

다크 테킬라(Dark tequila)라 명명 된 이 캠페인은 고급 키로거 악성코드를 배포하며, 5년동안 발각 되지 않고 활동할 수 있었습니다. 이는 타겟공격인 특성 및 회피 기술 몇 가지를 사용한 덕분인 것으로 나타났습니다.

다크 테킬라는 주로 긴 온라인 뱅킹 사이트 목록을 사용해 피해자의 금융 정보를 훔치도록 설계 되었으며, 코드 버전 관리 저장소부터 공용 파일 저장소 및 도메인 등록기관에 이르기까지 인기있는 웹사이트들의 로그인 크리덴셜도 훔칩니다.

연구원들은 타겟 사이트들이 "Cpanels, Plesk, 온라인 항공 예약 시스템, Microsoft Office 365, IBM Lotus Notes 클라이언트, Zimbra 이메일, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace 등”이라고 밝혔습니다.

이 악성코드는 스피어피싱이나 감염 된 USB 기기를 통해 피해자의 컴퓨터로 배포 됩니다.

실행 되면, 특정 조건이 맞을 경우에만 다단계 페이로드가 피해자의 컴퓨터를 감염시킵니다. 이는 감염 된 컴퓨터에 안티바이러스나 보안 프로그램이 설치 되어 있는지, 분석용 환경에서 실행 되고 있는지 등을 확인합니다.

이 외에도 연구원은 “공격자는 모든 작전을 엄격히 모니터링 및 제어합니다. 만약 타겟이 멕시코에 위치하지 않거나 타겟에 관심이 생기지 않는다면, 악성코드는 원격으로 언인스톨 됩니다.”고 밝혔습니다.

다크 테킬라는 아래의 주요 모듈 6개를 포함합니다:

C&C – 감염 된 컴퓨터와 C&C 서버와의 통신을 관리하며, 악성코드 분석을 막기 위한 중간자공격을 모니터링합니다.

CleanUp – 악성코드가 가상 머신이나 디버깅 툴에서 실행 되는 등 ‘의심스러운’ 행위를 포착 하면, 이는 감염 된 시스템에서 지속성 서비스 및 포렌식 증거들을 모두 제거해 흔적을 지웁니다.

키로거 – 시스템을 모니터링하고, 사전 로드 된 웹사이트 목록의 크리덴셜을 훔치기 위해 키 입력을 기록하도록 설계 되었습니다.

정보 스틸러 – 패스워드 스틸링 모듈로 이메일, FTP 클라이언트, 브라우저에 저장 된 패스워드를 추출해냅니다.

USB 인펙터 – 이 모듈은 자기 자신을 복제해 USB 드라이브를 통해 다른 컴퓨터를 감염시킵니다. USB를 다른 시스템에 꽂으면 자동으로 실행 되는 파일을 USB에 복사합니다.

서비스 감시 – 이 모듈은 악성코드가 정상적으로 실행 되는지 확인합니다.

다크 테킬라 캠페인은 여전히 활동 중이며, 공격자의 이익에 따라 전 세계 어느곳에 있는 피해자에게도 전달될 수 있습니다.

이 캠페인으로부터 보호받기 위해서는 항상 의심스러운 이메일을 경계하고, 사용자나 사용자 네트워크의 감염을 막기 위해 안티바이러스 솔루션을 사용하는 것이 좋습니다.

또한 신뢰할 수 없는 USB나 이동식 기기를 컴퓨터에 연결해서는 안되며, USB 기기에서 자동 실행을 하지 않도록 설정하는 것이 좋습니다.

현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.DarkTequila로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2018/08/mexico-banking-malware.html

https://securelist.com/dark-tequila-anejo/87528/