원격 오버레이 공격으로 피해자의 은행 계좌를 탈취하는 새로운 악성코드 발견

This new malware uses remote overlay attacks to hijack your bank account

 

브라질 은행 계좌를 소유한 사용자를 공격하기 위해 원격 오버레이를 사용하는 새로운 악성코드가 발견되었습니다.

 

IBM에서 Vizom이라 명명한 이 새로운 악성코드 변종은 브라질 전역을 노린 공격에 사용되고 있습니다. 이들은 온라인 금융 서비스를 통해 은행 계좌를 손상시키도록 설계되었습니다.

 

지난 화요일, IBM 보안 연구원인 Chen Nahman, Ofir Ozer, Limor Kessem은 악성코드가 숨김 상태를 유지하고 실시간으로 사용자의 기기를 해킹하기 위해 흥미로운 전술을 사용한다고 밝혔습니다. 이 전술은 원격 오버레이 기술 및 DLL 하이재킹입니다.

 

Vizom은 스팸 기반 피싱 캠페인을 통해 확산되며 화상 회의 소프트웨어로 위장합니다. 현재 코로나 바이러스로 인해 많은 기업 및 조직에서 화상 회의 소프트웨어를 사용하고 있는 상황을 악용하고 있습니다. 

 

Vizom이 취약한 윈도우 PC에 도달하면 감염 체인을 시작하기 위해 먼저 AppData 디렉토리를 공격합니다.

 

악성코드는 DLL 하이재킹을 활용해 델파이 기반 변종을 정식 소프트웨어의 이름으로 변경하여 강제로 악성 DLL을 로드합니다.

 

IBM은 시스템의 “내장된 로직”을 하이재킹하여 Vizom 악성코드가 합법적인 화상 회의 소프트웨어 파일의 하위 프로세서로 로드되도록 운영 체제를 속이는 것이라 설명했습니다. 해당 DLL은 Zoom 관련 파일인 Cmmlib.dll으로 이름을 변경합니다.

 

“악성코드가 “Cmmlib.dll”에서 실행되도록 하기 위해, 악성코드 제작자는 정식 DLL의 실제 익스포트(export) 목록을 복사했지만, 이를 수정하고 모든 기능이 동일한 주소로(악성코드의 주소 공간) 이동되도록 했습니다.”

 

그 후 드롭퍼는 명령 프롬프트를 통해 zTscoder.exe를 실행하고, 두 번째 페이로드인 원격 액세스 트로이목마(RAT)가 원격 서버에서 전달됩니다. 이 때 vivaldi 인터넷 브라우저에서 수행된 것과 동일한 하이재킹 수법이 사용됩니다.

 

지속성을 얻기 위해 브라우저 바로가기가 변조되고 사용자가 어떤 브라우저를 실행하는지에 상관없이 악성 Vivaldi/Vizom 코드가 백그라운드에서 실행됩니다.

 

그 후 악성코드는 온라인 뱅킹 서비스에 액세스하고 있다는 표시를 기다립니다. 웹페이지의 타이틀이 Vizom의 타깃 목록과 일치할 경우 운영자들은 알림을 받으며 해킹된 PC에 원격으로 연결할 수 있게 됩니다.

 

Vizom이 이미 RAT 기능을 배포했기 때문에 공격자는 해킹된 세션을 탈취하고 오버레이 콘텐츠를 통해 사용자가 은행 계좌 자격 증명을 입력하도록 속일 수 있습니다.

 

원격 제어 기능은 마우스 커서 이동, 키보드 입력 시작, 클릭 에뮬레이션 등 윈도우 API 기능을 악용합니다. Vizon은 인쇄 및 돋보기 기능을 통해 스크린샷을 캡처하는 것도 가능합니다.

 

설득력 있는 오버레이 화면을 만들기 위해 악성코드는 HTML 파일을 생성한 후 vivaldi에서 애플리케이션 모드로 로드합니다. 키 로거가 실행되며 입력이 암호화 및 패키징되어 공격자의 C2 서버로 전송됩니다.

 

“현재 Vizom은 대형 브라질 은행만 집중적으로 공격하고 있지만 동일한 수법으로 남미 전역에 사용되었으며 유럽의 은행 또한 노리고 있는 것으로 관찰되었습니다.”

현재 알약에서는 해당 악성코드 샘플에 대해 ’Gen:Variant.Ursu.905093’로 탐지 중입니다.

 

 

 

 

출처:

https://www.zdnet.com/article/this-new-malware-uses-remote-overlay-attacks-to-hijack-your-bank-account/

https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay/