Home > 전체기사
세계로 뻗어가는 브라질 해커들, 금융 업계는 경계령 발동시켜야
  |  입력 : 2020-07-16 15:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
IT 교육에 집중했지만 인재들 활동할 사회적 기반 마련되지 못해 해커들 활개쳐
네 가지 뱅킹 멀웨어 세계로 뻗어나가...묶어서 테트레이드라고 불러


[보안뉴스 문가용 기자] 예견된 일이었다. 브라질에서 태어나고 자란 멀웨어가 세계로 진출하기 시작했다. 남미 지역에서는 IT 교육이 오랜 시간 강조되어 왔는데, 이 인재들이 활동할 경제적 여건을 국가가 마련하는 데 실패하면서 차세대 해커들이 양성되고 있는 상황이고, 이에 대한 경고가 꾸준히 나왔었다. 그리고 그 우려가 현실이 되었다.

[이미지 = utoimage]


가장 대표적인 건 브라질산 뱅킹 트로이목마다. 뱅킹 트로이목마는 온라인 뱅킹을 하는 사람들을 노린 멀웨어로, 은행과 거래 시 사용하는 크리덴셜을 훔쳐간다. 보안 업체 카스퍼스키(Kaspersky)가 발표한 바에 따르면 네 개의 뱅킹 트로이목마 패밀리들이 현재 세계로 빠르게 뻗쳐가고 있다고 한다. 길드마(Guildma), 자발리(Javali), 멜코즈(Melcoz), 그란도레이로(Grandoreiro)인데, 이들을 묶어서 테트레이드(Tetrade)라고 부른다.

카스퍼스키는 “브라질 사이버 범죄자들은 원래 현지의 금융 기관들을 노려왔다”고 보고서를 통해 운을 뗐다. “그러나 2011년 초부터 외국에서도 자신들의 수가 통하는지 실험하는 자들이 출현하기 시작했습니다. 그러면서 슬금슬금 트로이목마를 외국에 심어보기도 했는데, 올해에는 뭔가 본격적인 움직임이 시작된 것으로 보입니다. 업그레이드된 테트레이드가 전 세계적으로 살포되고 있습니다.”

테트레이드 중 길드마를 사용하는 그룹은 2015년부터 활동을 시작했으며, 사업적 목적을 가진 이메일처럼 꾸며진 피싱 이메일을 주로 사용한다고 한다. 최근에는 코로나 사태를 미끼로 삼기도 했다. 게다가 길드마라는 멀웨어는 탐지가 까다롭기도 하다고 카스퍼스키는 경고했다. “길드마는 운영자와의 통신 기록을 암호화 된 포맷으로 페이스북이나 유튜브 페이지들에 저장합니다. 그런데 백신 중 이 두 서비스를 차단하는 것은 없죠. 그래서 탐지가 안 됩니다.” 이 길드마는 남미에서 극성을 부리다가 현재 미국, 포르투갈, 스페인에 진출한 상태다.

자발리 운영자들은 2017년부터 활동을 시작한 것으로 보이며, 최근 멕시코에서까지 발견되고 있다. 길드마처럼 피싱 이메일로 퍼지며, C&C 서버를 유튜브에 마련하고 있다. 마이크로소프트 인스톨러(MSI) 파일이 메일에 첨부되는데, 그 안에는 비주얼 베이직 스크립트가 임베드 되어 있다. 이 스크립트는 원격 서버로부터 악성 페이로드를 다운로드 한다. 악성 행위를 감추기 위해 DLL 사이드로딩 기법을 사용하기도 한다.

멜코즈는 2018년부터 나타난 멀웨어로, 브라우저와 컴퓨터 메모리로부터 비밀번호를 훔친다. 거기에 비트코인 지갑 주소를 훔치는 모듈도 보유하고 있다. 사용자가 비트코인 거래를 할 때 메모리에서 지갑 주소를 바꿔치기 함으로써 돈이 범인들의 계좌로 입금되도록 유도하는 것이다. 현재 멜코즈는 브라질을 넘어 남미 전체에서 발견되고 있다고 한다. 특히 칠레와 멕시코에서 피해가 증가하는 상황이다.

그란도레이로는 2016년부터 발견되어 온 멀웨어로, 지금은 남미와 유럽에서 피해자를 만들고 있다. 카스퍼스키에 의하면 그란도레이로는 현재 ‘서비스형 멀웨어’ 형태로 범죄자들 사이에서 배포되고 있으며, 때문에 가장 구하기 쉬운 멀웨어로서 자리 잡고 있다고 한다. 위 세 가지 멀웨어에 비해 가장 넓게 퍼져 있는 멀웨어이기도 하다. 침해된 웹사이트들을 통해 퍼지는데, 가끔 스피어피싱 공격을 통해 배포되기도 한다. C&C와의 통신은 정상적인 서드파티 웹사이트를 통해 진행한다.

카스퍼스키는 보고서를 통해 “브라질 사이버 범죄자들이 자신들만의 연대감을 근간으로 한 범죄 생태계를 빠르게 구축하고 있다”며 “인재 확보에도 열을 올리고 있고 멀웨어 공유도 활발하게 진행하고 있다”고 설명했다. “새로운 기술을 습득하는 것도 빨라 현대적인 공격을 시기적절하게 할 수 있는 능력도 갖추고 있습니다. 대부분 돈을 훔치는 걸 목적으로 합니다.”

카스퍼스키 남미 지역 담당인 드미트리 베스투제브(Dmitry Bestuzhev)는 보고서를 통해 “그들은 끊임없이 혁신 중이며, 새로운 기술과 전략들을 익혀나가고 있다”고 경고했다. “그래서 그들의 공격은 더 풍성해지고 있으며, 탐지는 더 어려워지고 있습니다. 금융 시장을 겨냥한 브라질 해커들의 공격은 앞으로도 계속해서 이어질 전망입니다. 새로운 멀웨어들이 등장할 가능성도 매우 높습니다. 금융 업계의 적절한 대응이 필수적입니다.”

3줄 요약
1. 브라질산 뱅킹 멀웨어 4총사, 세계로 뻗어나가는 중.
2. 이 4총사의 이름은 테트레이드로, 탐지가 어렵다는 특징을 가지고 있음.
3. 브라질 해커들의 ‘그들만의 생태계 구축’, 활발하게 진행되고 있어 세계 금융 시장은 경계해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)