상세 컨텐츠
본문
Stealthier version of Mekotio banking trojan spotted in the wild
뱅킹 트로이목마인 Mekotio의 새로운 버전이 실제 공격에서 사용되고 있는 것으로 나타났습니다. 연구원들은 이 트로이목마가 새롭고 더욱 은밀한 감염 방식을 사용하고 있다고 밝혔습니다.
Mekotio는 지난 2020년 여름 라틴 아메리카 국가를 노린 캠페인을 통해 배포된 것이 마지막 활동이었습니다.
최근 공격에서도 감염 체인을 시작하는 피싱 메일에 스페인어를 사용하는 것으로 보아 타깃 범위는 동일한 것으로 보입니다.
새로운 공격 흐름
감염은 PowerShell 스크립트를 받아와 실행하는 난독화된 배치 스크립트를 포함한 ZIP 파일을 첨부한 피싱 메일로 시작됩니다.
PowerShell 스크립트가 시작되면, 위치 확인 및 안티 분석 검사를 진행한 후 두 번째 ZIP 압축파일을 다운로드합니다.
검사 결과 피해자가 라틴 아메리카에 위치해 있으며, 악성코드가 가상 머신에서 실행되고 있지 않은 것으로 확인될 경우 DLL 형식의 Mekotio 페이로드가 포함된 두 번째 ZIP 파일이 추출됩니다.
<새로운 공격 흐름도>
위와 같은 다단계 공격 흐름은 불필요하게 복잡해 보일 수 있지만, 탐지를 피하고 최종 페이로드를 성공적으로 배포하는데 필요합니다.
모듈식 공격의 장점 중 하나는 기존의 탐지 방식을 쓸모 없도록 만드는 추가적인 변경을 적용할 수 있다는 것입니다.
<최근 Mekotio 캠페인에 사용된 피싱 이메일>
포장만 바뀐 동일한 코드
최신 Mekotio 버전을 탐지하기 어렵도록 하는 새로운 요소 3가지는 아래와 같습니다.
- 난독화 레이어 최소 2개를 포함한 더욱 은밀한 배치 파일
- 메모리에서 직접 실행되는 새로운 파일리스 PowerShell 스크립트
- 최종 DLL 페이로드 패킹에 Themida v3 사용
CheckPoint는 지난 3개월 동안 단순하지만 Mekotio가 보안 제품 대부분에 탐지되지 않도록 돕는 암호 대체 기술을 배포하는 공격 약 100건을 발견했다고 밝혔습니다.
난독화의 두 번째 계층은 PowerShell 명령을 다른 환경 변수에 저장된 부분으로 분할한 다음 실행 중에 값을 연결하는 것입니다.
<PowerShell 스크립트의 두 번째 난독화 계층>
이 트로이 목마의 주요 목표는 사람들의 전자 뱅킹 크리덴셜과 온라인 계정의 비밀번호를 훔치는 것입니다.
과거 Mekotio 변종 중 일부는 가상 화폐 결제를 가로채 공격자가 제어하는 지갑으로 보낼 수도 있었지만, 최근 버전에서는 이 기능을 제거했습니다.
CheckPoint는 스페인 시민 경비대가 멕시코 현지에서 Mekotio 배포된 것과 관련하여 16명을 체포한 직후 새로운 캠페인이 시작되었다고 밝혔습니다.
그러나 Mekotio의 핵심 멤버는 브라질에 있는 것으로 보이며, 그는 현재 다른 사이버 범죄자들에게 판매하고 있는 Mekotio의 제작자로 추정됩니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 리눅스 커널의 TIPC 모듈에서 치명적인 RCE 취약점 발견 (0) | 2021.11.05 |
|---|---|
| BlackMatter 랜섬웨어, 운영 중단 후 피해자를 LockBit으로 옮겨 (0) | 2021.11.04 |
| 토론토 교통 네트워크인 TTC, 랜섬웨어에 공격 당해 (0) | 2021.11.03 |
| 인증이 필요하지 않은 GitLab의 RCE 취약점, 실제 공격에 악용돼 (0) | 2021.11.03 |
| HelloKitty 랜섬웨어, 피해자에 DDoS 공격도 수행해 (0) | 2021.11.02 |
댓글 영역