Home > 전체기사
크롬 히스토리 분석해 공격 전략 마련케 해주는 멀웨어, 새프코
  |  입력 : 2019-08-13 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용자가 방문하는 곳 어디인가 알아보고, 다음 단계 공격 전략 짤 수 있게
민감한 정보 수집해 전달하고 키로깅하고...USB를 통한 감염 확산도 꾀해


[보안뉴스 문가용 기자] 보안 업체 지스케일러(ZSclaer)의 전문가들이 새로운 원격 접근 트로이목마(RAT)를 발견했다. 장비를 감염시킨 이후 크롬 브라우저에 저장된 히스토리 정보를 뒤져 사용자가 가장 많이 방문한 웹사이트들을 파악하고, 공격자들은 이 정보를 통해 가장 효율적인 공격 전략을 짠다고 한다.

[이미지 = iclickart]


이 RAT의 이름은 새프코(Saefko)로, 사용자의 크롬 히스토리 목록에서 다음과 같은 것들을 찾기 위해 검색한다고 한다.
1) 신용카드와 관련된 웹사이트 최소 70개
2) 온라인 및 PC 게임과 관련된 웹사이트 최소 28개
3) 암호화폐와 관련된 웹사이트 최소 71개
4) 쇼핑 및 온라인 구매와 관련된 웹사이트 최소 54개
5) 비즈니스와 금융 관련 웹사이트 최소 30개
6) 소셜 미디어 : 인스타그램, 페이스북, 유튜브, 구글플러스, 지메일

그것 외에도 사용자의 애플리케이션 데이터도 수집한다. 특히 다음과 관련된 것들이다.
1) 인터넷 릴레이 챗(IRC) 프로토콜
2) 기계 아키텍처
3) 위치 정보
4) 특정 웹사이트에 사용자가 접속한 횟수
5) 사용자가 자주 접속한 웹사이트의 종류
이 모든 정보들은 공격자가 운영하는 C&C 서버로 전달된다.

새프코는 닷넷(.NET)으로 작성되어 있으며 다음과 같은 기능을 가지고 있다.
1) 민감한 정보에 접근한 후 추출
2) 키로깅
3) 스크린샷 캡처
4) 웹캠 활성화
5) 드라이브 포맷
6) 추가 프로그램 다운로드 등

새프코는 현재 다크웹 시장에서 판매되고 있는 중이라고 한다. 이를 발견한 지스케일러의 라지딥신 도디아(Rajdeepsinh Dodia)와 프리양카 바티(Priyanka Bhati)는 “굉장히 많은 프로토콜과 OS를 공략할 수 있는 원격 접근 툴로, 윈도우와 안드로이드 기반 장비들에 또 다른 멀웨어 공격 등을 실시할 수 있게 해주는 기능을 가지고 있다는 식으로 광고되고 있다”고 말한다.

새프코는 네 개의 감염 모델을 보유하고 있다고 지스케일러는 설명한다.
1) HTTP Clinet(아마도 client를 잘못 쓴 것으로 보인다) : 감염된 기계와 C&C 서버 사이에 통신 채널을 만든다.
2) keylogger
3) IRC Helper : 악성 IRC 연결을 성립하고 여러 가지 명령을 실시한다.
4) Start USB Service : 감염된 시스템에 연결된 휴대용 드라이브에 멀웨어를 심는다.

“RAT 유형의 멀웨어들로부터 컴퓨터를 보호하려면 신뢰할 수 없는 곳에서 프로그램을 다운로드 받거나 첨부 파일을 여는 행위를 하지 말아야 합니다. 관리자라면 사용하지 않는 포트를 항상 닫아두고, 사용하지 않는 서비스들을 찾아 비활성화시키며, 바깥으로 나가는 트래픽을 항상 모니터링하는 게 중요합니다.” 지스케일러의 권고 사항이다.

3줄 요약
1. 새로운 RAT 등장. 이름은 새프코. 현재 다크웹 암시장에서 판매되고 있음.
2. 크롬의 히스토리 정보를 수집하고 분석해 추가 공격을 더 효율적으로 할 수 있게 해줌.
3. 감염에 동원되는 모듈도 네 가지나 가지고 있음. USB 통한 확장성도 눈에 띔.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)