‘1000029’(v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이 워너크라이(WannaCry)와 페트야(Petya) 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났다.
TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드로 알려져 있다.
이 트로이목마는 보통 이름 없는 ‘국제 금융 기관’의 인보이스로 위장한 이메일 첨부파일을 통해 확산되며 사용자를 크리덴셜을 훔치는 가짜 로그인 페이지로 이동시킨다.
지난 주 보안 연구원들은 이 TrickBot 악성코드가 SMB를 통해 로컬 네트워크로 유포될 수 있도록 기능을 탑재한 사실을 발견했다.
TrickBot의 새 버전은 아직까지 테스트 중인 것으로 보이며, 그렇기 때문에 이 새로운 기능은 아직 완벽히 구현되지 못했다. 이터널블루(EternalBlue)를 악용했던 워너크라이(WannaCry)와는 다르게, 이 트로이목마는 랜덤하게 외부 IP를 스캔해 SMB 연결을 찾는 기능도 포함하고 있다.
연구원들은 이 트로이목마가 NetServerEnum Windows API를 통해 취약한 서버들을 찾기 위해 도메인을 스캔하고 Lightweight Directory Access Protocol (LDAP)를 통해 네트워크 상의 다른 컴퓨터를 열거할 수 있도록 수정 되었다고 말한다.
이 새로운 TrickBot 변종은 ‘setup.exe’로 위장할 수 있으며 프로세스 간 통신을 통해 배포되고 공유 된 드라이브에 TrickBot을 다운로드하기 위해 PowerShell 스크립트를 통해 전달될 수 있다.
연구원들에 따르면, 최신 TrickBot 변종을 통해 악성코드의 배후에 있는 운영자들이 가까운 미래에 어떤 기술들을 사용할지 예측할 수 있었다고 한다.
또 연구원들은 “웜 모듈이 아직까지는 미숙한 것처럼 보이지만, 이로써 Trickbot 갱이 WannaCry와 NotPetya로부터 배운 웜과 유사한 기술을 구현하려고 시도하고 있음이 분명하다”고 밝혔다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★