2024-03-29 10:23 (금)
크로노스 뱅킹용 악성코드, 새로운 버전으로 확산되고 있어...주의
상태바
크로노스 뱅킹용 악성코드, 새로운 버전으로 확산되고 있어...주의
  • 길민권 기자
  • 승인 2018.07.30 15:31
이 기사를 공유합니다

aa-2.jpg
프루프포인트(Proofpoint) 보안 연구원들이 크로노스(Kronos) 뱅킹 트로이목마의 새로운 버전이 활동을 시작했다고 밝혔다. 2014년 전성기였던 이 트로이목마의 개량 된 버전을 퍼뜨리는 캠페인 최소 3개를 발견했다고 덧붙였다.

새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견됐다.

연구원에 따르면 "초기 샘플들은 테스트로 파악되고 실제 캠페인은 6월 말부터 시작 되었다. 이 시기부터 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었다"고 설명했다. 주로 독일, 일본, 폴란드를 노래는 캠페인이었다.

프루프포인트는 독일, 일본, 폴란드의 은행 사용자들을 노리는 캠페인 3개 및 테스트 공격 1회를 발견한 것이다.

이 캠페인에서 사용 된 악성코드는 Kronos의 오리지널 버전은 아니며, 2014년 버전과 비교했을 때 여러 업데이트를 받은 것으로 분석됐다.

연구원들은 2014년 및 2018년 버전의 코드를 비교했을 때 많은 부분이 중복된다고 밝혔다.

유사한 점은, 2018년 버전이 동일한 윈도우 API 해싱 기술 및 해시, 문자열 암호화 기술, C&C 암호화 메커니즘, C&C 프로토콜 및 암호화, webinject 포맷(Zeus 포맷), 그리고 유사한 C&C 패널 파일 레이아웃을 사용한다는 점이다.

두 버전의 가장 큰 차이점은 2018년 버전이 토르 호스팅 C&C 제어판을 사용한다는 것이다.

연구원들이 Kronos의 변종의 급증을 발견한 것과 동일한 시기에, 한 악성코드 제작자는 해킹 포럼에 Osiris라는 새로운 뱅킹 트로이목마를 광고하기 시작했다.

연구원들은 Osiris 악성코드의 샘플을 얻지는 못했지만, 해당 광고의 내용을 살펴본 결과 Kronos 2018년 버전과 완벽하게 동일하다고 밝혔다.

가장 큰 단서는 Osiris의 크기다. 이 제작자는 Osiris가 350KB라 광고하고 있으며, Kronos 2018년 초기 샘플은 351KB다. 또한 이 샘플의 이름은 os.exe였습니다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★