2019-10-24 12:12 (목)
은행 및 개인정보 탈취 악성코드 ‘Dridex’ 변종 트로이목마 유포중…주의
상태바
은행 및 개인정보 탈취 악성코드 ‘Dridex’ 변종 트로이목마 유포중…주의
  • 길민권 기자
  • 승인 2017.09.19 04:50
이 기사를 공유합니다

Dridex, 웹브라우저 모니터링하고 은행 및 개인정보 탈취 악성코드

ATM-1.jpg
Trustwave, 자바스크립트 파일을 이용해 악성 실행파일 다운로드 후 사용자의 정보를 탈취하는 피싱 이메일이 확인돼 각별한 주의가 요구된다.

공격자는 Xero 기업으로 위장해 전세계적으로 피싱 이메일을 발송했다. Xero는 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사다.

발신자는 xero.com이 아닌 xeronet.org로 해당 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됐다.

이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행해 Y739Ayh.exe를 다운로드하며, 이는 Dridex 트로이목마의 변종으로 확인됐다.

Dridex는 크롬(Chrome), 인터넷 익스플로러(Internet Explorer)와 같은 웹브라우저를 모니터링하고 은행 및 개인정보를 탈취하는 악성코드다.

이 악성코드의 기능은 시스템 정보 수집, 사용자 정보 수집, 인터넷 설정 변경, 레지스트리 키 검색을 통한 설치된 소프트웨어 목록 수집 등이다.

특히 내장 윈도우 명령어(whoami.exe/all 등) 사용, API 간접 호출을 통한 탐지 우회, 정상 프로세스에 악성코드를 삽입하는 등의 특징을 지닌 매우 정교한 악성코드로 분석됐다.

KISA는 정상적으로 보이는 메일도 발신자가 의심스러울 경우 링크 클릭 및 파일 다운로드에 각별한 주의를 당부하고 또 Xero 외에도 SharePoint, Quickbook, Dropbox 등 유명 브랜드를 사칭하는 경우가 발견되어 이메일 확인 시 사용자의 주의가 필요하다고 강조했다.

★정보보안 대표 미디어 데일리시큐!★