멀티 플랫폼에서 동작하는 키로거 PWOBot 발견!

멀티 플랫폼에서 동작하는 키로거 PWOBot 발견!

Newly discovered PWOBot malware is a total keylogger

최근 보안연구원들은 멀티 플랫폼에서 동작하는 PWOBot 악성코드를 발견하였습니다. 

이 악성코드는 Windows, Linux, OS X등 다양한 플랫폼에서 동작하는 악성코드로, Python으로 제작되었습니다. Palo Alto Networks 연구결과에 따르면, 현재까지 이 악성코드는 폴란드의 Windows OS 시스템에 대규모로 퍼져있으며, 전 세계적으로 유포되어 실행될 가능성도 있다고 밝혔습니다. 

Palo Alto Networks의 Josh Grunzweig 보안연구원은 "이 악성코드는 이미 유럽, 특히 폴란드 조직들에 영향을 미치고 있습니다. 이 악성코드는 폴란드의 문서공유네트워스 서비스를 통하여 유포되었습니다. 이 악성코드에는 문서 다운로드, 문서 실행, 파이썬 코드 실행, 키로깅, HTTP 서버 생성 및 감염 PC의 CPU 및 GPU를 이용하여 비트코인을 채굴하는 등 다양한 기능을 포함하고 있습니다. " 라고 말했습니다. 

몇년간의 조사결과 PWOBot은 12개의 변종을 발견하였으며, 이 변종들에는 멀티 플랫폼 특징은 포함되어 있지 않았습니다. 하지만 최근 발견된 PWOBot 변종에는 멀티플랫폼 기능이 포함되어 있었으며, 이는 보안연구원들과 플랫폼 개발자들을 긴장시키고 있습니다. 

Grunzweing는 "공격자는 PyInstaller을 이용하여 Python코드를 MicrosoftWindows의 실행가능한 문서로 바꿉니다. 하지만 Pyhon을 사용하기 때문에, 다른 OS에도 쉽게 전파될 수 있습니다. " 라고 말했습니다. 

이 악성코드는 우선 설치되어 있던 이전 버전의 악성코드를 제거하고 새로운 버전을 설치합니다. 그 후 registry Keys를 실행하는데, 그 이유는 대부분의 이전 버전들이 특정한 ‘pwo[VERSION]’ 형식을 이용하여 레지스트리를 실행하기 때문입니다. 여기에서의 [VERSION]은 PWOBot의 버전 번호를 뜻합니다. 일단 새로운 버전이 설치되면, 악성코드는 실행가능한 문서의 복사본을 만들고％HOMEPATH％/ PWO[VERSION] 하위에 저장합니다. 

이 악성코드는 멀티 플랫폼 및 독특한 모듈화 설계 등의 특징을 갖고 있기 때문에 매우 위험합니다. 

참고 : 

https://www.hackread.com/pwobot-malware-a-total-keylogger/