Zeus Sphinx 악성코드 부활, 코로나바이러스 이슈 악용해

Zeus Sphinx malware resurrects to abuse COVID-19 fears

Zeus Sphinx가 수 년간의 휴식 끝에 부활해 코로나바이러스 팬데믹 이슈를 악용하는 것으로 나타났습니다.

전세계 총 76만명 이상이 감염된 코로나바이러스로 인해 새로운 코로나바이러스 치료법에 대한 비밀을 가지고 있다고 주장하는 스팸 메일, 공익 기업 또는 은행인 척 하며 확진자가 발생했다고 주장하는 사기 문자/전화, 코로나를 예방한다는 가짜 상품이 등록된 온라인 마켓 등이 성행하고 있습니다.

많은 사이버 공격자와 사기꾼이 이 문제를 악용할 공격 기회를 노리고 있으며, 3년 가까이 활동이 없었던 악성 코드 또한 부활했습니다.

지난 월요일, 지난 3월 실행된 정부의 재난 구호금 관련 주제를 사용하는 캠페인에서 IBM X-Force는 Zeus Sphinx(Zloader 또는 Terdot로도 알려짐)가 발견되었다고 밝혔습니다.

Zeus Sphinx는 2015년 8월 처음 발견되었습니다. 이 악성코드는 Zeus v2 기반 핵심 코드 요소를 포함하는 상용 모듈형 뱅킹 트로이목마입니다. 이는 과거 영국, 호주, 브라질, 미국의 금융 기관을 노렸으며 현재 코로나바이러스 주제로 꾸민 캠페인을 통해 동일 국가를 노리고 있습니다.

연구원들은 Zeus Sphinx가 "COVID 19 relief"라는 악성 파일이 포함된 피싱 캠페인을 통해 확산 중이라 밝혔습니다. 이 이메일은 코로나바이러스 확산 기간 동안 일을 하지 않고 집에 있어야 하는 사람들을 돕는 구호 자금을 받기 위한 양식을 작성할 것을 요청합니다.

첨부된 양식은 주로 .DOC 또는 .DOCX 파일 양식을 사용하며, 다운로드 및 실행할 경우 매크로 사용을 요청합니다. 이 매크로는 윈도우 프로세스 하이재킹 및 악성코드를 호스팅하는 C&C 서버 연결을 통해 Zeus Sphinx 페이로드를 트리거합니다.

해킹된 기기에 일단 설치 되면, Zeus Sphinx는 자기자신을 수 많은 파일과 폴더에 동적으로 기록하고 레지스트리 키를 생성하여 지속성을 유지합니다. 또한 악성 소프트웨어로 탐지되지 않기 위해 자체 서명된 인증서를 사용합니다.

이 악성코드의 전문 기술은 웹 인젝션이며, 일부 경우 Zeus v2 코드베이스를 사용합니다. Zeus Sphinx는 사용자가 온라인 뱅킹 플랫폼과 같은 타깃 페이지에 방문했을 때 인젝션을 위해explorer.exe와 브라우저 프로세스(크롬, 파이어폭스 포함)를 패치할 것입니다. 다음으로 이 코드는 페이지를 수정하여 피해자가 인증 정보를 넘기도록 합니다. 이 정보는 악성코드의 C2 서버로 전송됩니다.

하지만 Zeus Sphinx에는 브라우저를 재 패치할 수 있는 프로세스가 없다는 결함이 있습니다. 따라서 브라우저가 업데이트를 푸시할 경우 웹 인젝션 기능이 유지되지 못하는 것으로 알려져 있습니다.

이 캠페인은 현재 진행 중이며, 수 많은 코로나바이러스 관련 캠페인 중 하나일 뿐입니다.

현재 알약에서는 해당 악성코드에 대해  Trojan.Terdot.gen, Trojan.Script.Agent등으로 탐지중에 있습니다. 

출처 :

https://www.zdnet.com/article/zeus-sphinx-malware-resurrects-to-abuse-covid-19-fears-and-steal-banking-data/

https://securityintelligence.com/posts/zeus-sphinx-trojan-awakens-amidst-coronavirus-spam-frenzy/