2024-03-19 17:50 (화)
CamuBot, 보안 모듈로 위장한 새로운 뱅킹 악성코드
상태바
CamuBot, 보안 모듈로 위장한 새로운 뱅킹 악성코드
  • 길민권 기자
  • 승인 2018.09.09 23:19
이 기사를 공유합니다

aaaa-5.jpg
새로운 뱅킹 악성코드가 발견 되었다. CamuBot은 지난 달 브라질에서 발견 되었으며, 공공 기업 및 조직을 노렸다. 피해자들은 은행 직원으로 위장한 공격자들의 지시에 따라 악성코드를 설치한 자들이다.

이번 악성코드는 은행의 로고와 브랜드 이미지를 사용해 보안 어플리케이션으로 위장한다.

IBM X-Force 연구 팀은 블로그를 통해 “CamuBot 운영자들은 공격을 실행하기 위해 특정 금융 기관과 거래하는 은행을 찾기 위한 정찰을 시작했다. 그 다음, 기업의 은행 계좌 크리덴셜을 가지고 있는 것으로 추정 되는 사람에게 전화 통화를 시도한다”고 밝혔다.

공격자들은 현재 은행의 보안 모듈의 유효성을 확인해야 한다는 핑계를 대며 가짜 보안 툴을 설치하도록 유도한다.

타깃이 거래하는 은행의 금융 직원 행세를 하며 이 공격자는 피해자에게 소프트웨어가 구버전이라는 것을 보여주는 웹사이트를 로드하도록 요청한다.

공격자는 문제 해결을 위해서는 관리자 권한으로 온라인 뱅킹을 위한 새로운 모듈을 다운로드 및 설치 해야 한다고 속인다.

CamuBot의 루틴은 기기에서 SSH 기반의 SOCKS 프록시를 설정하고 포트 포워딩을 활성화 하는 것을 포함한다. 이 행동의 목적은 양방향 통신 터널을 설정해 공격자들이 해킹한 은행 계좌에 접근할 때 피해자의 IP를 사용하도록 하기 위해서다.

온라인 뱅킹 계좌의 로그인 크리덴셜은 피싱을 통해 얻는다. CamuBot이 설치 되면, 이는 타깃 은행의 가짜 웹사이트를 열고 피해자에게 로그인을 요청해 공격자에게 정보를 보낸다.

안티바이러스와 방화벽 탐지를 우회하기 위해, 이 악성코드는 보안툴들의 승인 프로그램 리스트에 자기 자신을 추가한다.

악성코드 제작자들은 이중 인증을 요구하는 상황에서도 공격이 성공할 수 있도록 만들었다.

두 번째 인증 시도에 감염 된 컴퓨터와 연결 된 기기가 요구될 경우, CamuBot은 이를 인식해 올바른 드라이버를 설치한다. 이후 공격자는 전화를 통해 피해자에게 보안 코드를 공유하라고 요청한다.

연구원들은 CamuBot의 공격은 개인 맞춤형이며, 브라질의 기업들만 노리고 있으며 다른 국가에서는 공격이 발견 되지 않았다고 밝혔다.

이 공격은 소셜 엔지니어링에 많은 부분을 의존하고 있지만, 공격자는 아주 적절한 트릭을 사용해 많은 사람들이 이에 속을 수 있을 것으로 보인다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★