[해외보안동향] 신용카드 번호를 훔치는 새로운 멀웨어 발견

신용카드 번호를 훔치는 새로운 멀웨어 발견 

New POSeidon Malware Spotted in the Wild

멀웨어 패밀리인 'POSeidon'은 신용카드 정보 탈취를 목적으로 POS기기를 감염시키고 있습니다. 공격자는 감염된 기기를 통해 메모리 스크래핑과 데이터를 추출할 수 있습니다. 탈취된 신용카드 정보는 재판매용도로 사용되고 있습니다.

                         

                                        

램 스크래핑은 지불 시스템들을 손상시킬 목적으로 재탄생된 오래된 공격 기술입니다. 초기의 멀웨어는 단순한 형태였으나, 점차 복잡하고 많은 영향을 미칠 수 있는 멀웨어 패밀리로 진화하였습니다. 현재는 사회적 기법의 파일이름을 포함한 봇, 네트워크 기능들을 포함하고 있습니다.

여기서 흥미로운 점은 해당 멀웨어에 감염되면, 시스템을 재부팅시켜도 실행되지 않는다는 점입니다. 또한, 현재 접속되어 있는 사용자 계정을 로그오프시켜도 기기의 메모리에서 실행됩니다.

재부팅에 대한 저항은 로더 바이너리를 통해 이루어집니다. (로더 바이너리는 파일 시스템의 다양한 바이너리 포맷의 모듈을 로딩 및 실행하는 데 사용됩니다.) 멀웨어가 실행되면, 로더 바이너리가 WinHost.exe 또는 WinHost32.exe로 실행되는지를 확인합니다. 

만약 WinHost.exe 또는 WinHost32.exe로 실행되는 것이 아니라면, WinHost라는 이름을 가진 윈도우 서비스를 정지시킵니다. 이후 로더가 자기 자신을 %SystemRoot%\System32\WinHost.exe로 복사합니다. 동일한 이름의 파일들은 모두 덮어쓰기하면 로더는 WinHost라는 이름의 서비스를 시작할 것입니다. 로더는 다른 바이너리를 포함한 URL을 받기 위하여 C&C 센터에 연락합니다. 여기서 바이너리는 POS 기기 내 메모리의 신용카드 번호로 보이는 숫자열을 스캔하는 키로거를 설치합니다. Luhn 알고리즘을 사용하여 확인한 후, 신용카드 정보를 암호화시켜 러시안 도메인(.ru)으로 전송합니다. 

     

시스코는 “공격자들은 계속해서 POS 시스템을 공격의 타겟으로 삼고 있습니다. 또한, 다양한 방법으로 탐지를 피하기 위한 노력을 할 것입니다. POS 공격으로 수익을 낼 수 있는 환경이 만들어지는 한, 공격자들은 새로운 멀웨어 패밀리 개발을 시도할 것입니다.”, “네트워크 관리자들은 방심하지 말고 업계의 모범 정책들을 준수해야 합니다. 진화하는 멀웨어 위협에 대항하여 반드시 보호 및 대비를 해야 할 것입니다.”라고 밝혔습니다.

   

즉각적으로 POS 기기의 침입을 탐지하기 위해서는 정기적으로 탐지 능력을 점검하는 등 사업자들의 노력이 필요합니다. 또한, 가게가 문을 닫은 시간에 특정 위치로 트래픽이 발생하는 등의 아웃 바운드 트래픽 이상 현상에 대해서도 면밀히 모니터링해야 합니다. 

   

현재 알약에서는 해당 멀웨어를 Spyware.POSeidon으로 탐지하고 있습니다. 

출처: Hot for Security

http://www.hotforsecurity.com/blog/new-poseidon-malware-spotted-in-the-wild-11594.html

* 해당 블로그 콘텐츠는 공식적으로 인용 허가를 받았습니다.