2020-06-02 14:25 (화)
이셋코리아, Guildma트로이목마 분석내용 발표
상태바
이셋코리아, Guildma트로이목마 분석내용 발표
  • 길민권 기자
  • 승인 2020.03.10 15:00
이 기사를 공유합니다

라틴 아메리카 지역에서 가장 영향력 있고 진보된 온라인 뱅킹 트로이목마

이셋코리아가 Guildma트로이목마에 대한 분석 내용을 발표했다. 이 맬웨어는 라틴 아메리카 지역에서 가장 영향력 있고 진보된 온라인 뱅킹 트로이목마이다.

Guildma는 금융 기관을 대상으로 하며 브라질 내의 이메일 계정, 온라인 상점, 스트리밍 서비스의 자격 증명을 도용하려는 시도를 하며 ESET 리서치에서 분석한 다른 라틴 아메리카 지역 뱅킹 트로이목마보다 최소 10배 이상의 피해자에게 영향을 미친다.

2019년 대규모 캠페인 동안, ESET은 매일 최대 50,000 건의 공격을 기록했다. Guildma는 악성 첨부 파일이 있는 스팸 메일을 통해서만 전파된다. Guildma는 최신 버전 중 하나에서 YouTube 및 Facebook 프로필을 오용하여 C&C(명령 및 제어) 서버를 배포하는 새로운 방법을 사용한다. 그러나 제작자는 즉시 Facebook 사용을 중단했으며, 적어도 지금은 YouTube만 사용하고 있다.

Guildma 분석팀을 이끌고 있는 ESET 연구원 Robert Šuman은 “Guildma는 매우 혁신적인 실행 방법과 정교한 공격 기술을 사용한다. 실제 공격은 C&C 서버에 의해 조정되며 이를 통해 맬웨어 제작자는 대상 은행이 구현한 대응책에 보다 유연하게 대응할 수 있다. Guildma는 스크린샷 촬영, 키 입력 캡처, 키보드 및 마우스 에뮬레이션, 바로 가기 차단, 파일 다운로드 및 실행, 시스템 재부팅 등 다양한 기능을 갖춘 백도어를 자랑한다. 또한 Guildma는 모듈형이며 현재 최소 10개의 모듈로 구성되어 있다. 맬웨어는 컴퓨터에 이미 있는 도구를 사용하고 고유한 자체 기술을 재사용한다”라며 덧붙여 “새로운 기술은 가끔씩 추가되지만 대부분의 경우 개발자는 단순히 이전 버전의 기술을 재사용하는 것 같다”라고 말했다.

2019년 이전 버전 중 하나에서 Guildma는 브라질 이외의 기관(주로 은행)을 대상으로 하는 기능을 추가했지만 지난 14개월 동안 ESET은 브라질 외에는 어떠한 국제적인 움직임을 보지 못했다. 공격자들은 브라질 이외의 IP 주소에서 다운로드 되는 것을 차단하기까지 했다.

Guildma캠페인은 ESET Research가 하루에 최대 50,000개의 샘플을 기록한 2019년 8월 이전까지 서서히 증가했다. 이 캠페인은 거의 2개월 간 진행되었으며 10개월 전에 발견된 탐지량의 두 배 이상을 차지했다.

Guildma트로이목마는 개발 과정에서 여러 버전을 거치는 것처럼 보였지만, 투박한 아키텍처로 인해 버전 간 발전은 거의 없었다.

★정보보안 대표 미디어 데일리시큐!