금융악성코드 시장에 새로운 위협, Bolek 뱅킹 악성코드

금융악성코드 시장에 새로운 위협, Bolek 뱅킹 악성코드 

Combo of Zeus and Carberp Trojans Discovered with Self-Spreading Capabilities

Bolek는 뱅킹 악성코드로, 예전에 유출되었던 Carberp와 Zeus의 코드에서 파생되었습니다. 악성코드 제작자는 이 두개의 코드를 섞어 새로운 뱅킹 악성코드를 제작하였습니다. 

CERT Poland 연구원은 5월 중순 해당 악성코드를 처음 발견하였습니다. 폴라드에서 발송된 피싱메일을 조사하던 중 Bolek와 Carberp의 KBot 모듈이 매우 유사한 점을 확인하였습니다. 미국의 보안회사 PhishMe는 Bolek의 동작방식에 대하여 종합적인 조사를 벌인 결과, Bolek와 Carberp가 서로 매우 유사하다는 것을 알 수 있었습니다. 

6월 초, Dr Web과 Arbor Networks 보안업체는 조사를 벌였습니다. Arbor보고서에서는 Bolek의 C&C 서버통신에 대하여 비중있게 다뤘으며, Dr.Web은 Bolek의 동작방식 및 Carberp, 심지어 원조인 Zeus 악성코드와의 유사점에 포커스를 맞춰 작성하였습니다. 

Dr.Web 보고서에 따르면, 이 악성코드는 현재의 은행 시스템에 최적화 되어 있으며, 웹 브라우저 인젝션을 통하여 온라인 은행 프로그램 중에서 계정정보를 탈취하고, 사용자 인터페이스를 캡쳐하며, 트래픽을 가로채고 키로깅을 할 수 있으며 또한 로컬에 프록시 서버를 만들어 감염 PC상의 문서들을 수집할 수도 있습니다. 

Bolek는 Microsoft Internet Explorer、Google Chrome、Opera 및 Mozilla Firefox를 공격할 수 있으며, 비밀번호 덤프툴인 Mimikatz를 내장하고 있습니다. 

Bolek과 Carberp와 Zeus의 유사한 점

Bolek는 Carberp의 커스텀 가상 파일 시스템 등 부분을 모방하였는데, 이것들은 보안 프로그램을 우회하기 위한 각종 설정파일들을 보관해 놓는데 사용합니다. Bolek가 Zeus에서 모방한 것은 강력한 인젝션 메커니즘으로 성공적으로 브라우저 프로세스에 침입할 수 있을 뿐만 아니라, 사용자가 온라인 뱅킹을 사용할 때 전체 웹페이지를 컨트롤 할 수 있습니다.

그밖에, 이 악성코드는 Windows 32비트와 64비트 시스템을 감염시킬 수 있는데, 일단 원격서버로부터 명령을 하달받으면, RDP를 이용하여 감염 PC와 공격자 간의 reverse 연결을 합니다. 

Bolek는 다른 파일 혹은 USB로도 전파 가능

Dr.Web 연구원은 흥미로운 점을 발견하였는데, Bolek 감염 후 C&C 서버가 악성코드에게 명령을 하달하는데, 이 명령은 웜과 같은 자가복제 메커니즘을 활성화 시키는 명령입니다. 이는 악성코드가 다른 파일 혹은 USB의 다른 파일로 유포될 수 있도록 합니다. 이 악성코드는 32비트 혹은 64비트 실행파일을 감염시키며, 이 문서들의 다른 기기로 옮겨지면서 Bolek의 유포를 도와줍니다. 

출처 :

http://news.softpedia.com/news/combo-of-zeus-and-carberp-trojans-discovered-with-self-spreading-capabilities-505153.shtml