ESET 연구원들이 중동지역을 대상으로 하는 사이버 공격을 조사하던 중 기술적으로 흥미로운 다운로더를 발견했다. 많은 비 전통적 기술 중 하나가 눈에 띄었는데 이 맬웨어는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록한다.

이 다운로더는 DePriMon으로 명명되었는데 복잡성과 모듈식 아키텍쳐로 인해 ESET 연구원은 이를 프레임워크로 간주한다.

ESET 원격 분석 결과 DePriMon 맬웨어는 2017년 3월부터 활성화되어 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지되었다. DePriMon은 드문 경우에 Lamberts 사이버 스파이 그룹(Longhorn 이라고도 함)에서 사용되고 Vault 7(CIA 해킹 툴) 유출과 연관된 ColoredLambert 맬웨어와 함께 탐지되었다.

ESET 연구원들은 DePriMon이 개발자가 아키텍쳐를 설정하고 중요한 구성 요소를 만드는 데 특별한 노력을 기울인, 흔치 않은 고급 다운로더인 것을 발견했다. 따라서 대상의 제한된 지리적 분포와 악성 높은 사이버스파이 그룹과의 관계를 넘어 주목 받을만 하다.

DePriMon은 메모리에 다운로드되어 직접 실행되는 반사형 DLL 로딩 기술을 사용한다. 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 놀랍도록 광범위한 구성 파일이 있으며 암호화가 적절하게 구현되어 있으며 C&C 통신을 효과적으로 보호한다. 결과적으로 DePriMon은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집하도록 설계된 강력하고 유연하며 지속적인 도구라 할 수 있다.

ESET 연구원들은 방어자가 이러한 위협으로부터 안전할 수 있도록 하기 위해 MITRE ATT&CK 기술 자료에서 지속성 및 권한 상승 전술에 따라 “포트 모니터’로 분류된 설치 기술에 초점을 두고 새로 발견된 이 맬웨어를 철저히 분석했다.

한편 ESET은 이전에 알려지지 않은 또 다른 맬웨어 Mispadu도 발견했다고 발표했다.

Mispadu는 ESET이 최근에 탐지했던 Amavaldo 및 Casbaneiro와 유사하게 Delphi로 작성되었으며 가짜 팝업창을 사용하여 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코를 주로 대상으로 하는 Mispadu 뱅킹 트로이목마에는 백도어 기능이 포함되어 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다.

ESET 연구팀은 스팸과 악성 광고라는 두 가지 배포 방법을 사용하는 Mispadu 트로이목마 군을 확인했다. 전자는 라틴 아메리카 뱅킹 트로이목마에서 일반적이지만 후자는 아주 드물다.

Mispadu 뒤의 위협 행위자는 페이스북에 맥도날드에 대한 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결되어 할인쿠폰으로 가장한 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 된다.

이 파일을 실행하면 3개의 스크립트 체인을 통해 Mispadu 뱅킹 트로이목마가 다운로드 및 실행됩니다. 이 트로이목마는 정상적인 소프트웨어의 사본을 수정한 잠재적으로 원치 않는 애플리케이션 네 가지를 이용해 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다.

브라질에서는 Mispadu가 흥미롭고 악의적인 Chrome 확장 프로그램을 배포하는 것으로 나타났다. 이 확장 프로그램은 “Chrome을 보호하세요”라고 주장하지만 신용카드 및 온라인 뱅킹 데이터를 도용하려는 시도를 하며 바코드 기반 발권 시스템을 사용하여 결제를 이체하는 브라질의 유명한 결제 시스템인 Boleto 도 손상시킬 수 있다. Mispadu 악성코드 공격의 Boleto 구성요소는 Boleto 티켓의 합법적 바코드를 정상적인 웹사이트의 오용을 통해 생성된 공격자의 은행 계좌에 연결된 바코드로 대체한다. 이는 Mispadu 의 가장 고급 기능이다.

★정보보안 대표 미디어 데일리시큐!★