보안

이셋, 암호화폐 훔치는 ‘카스바네이로’ 뱅킹 트로이목마 주의 권고

편집부 | ITWorld 2019.10.15
이셋코리아(www.estc.co.kr)는 이셋(ESET) 본사가 라틴아메리카 뱅킹 트로이 목마인 카스바네이로(Casbaneiro)를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 권고했다. 

카스바네이로는 이전에 발견된 아마발도(Amavaldo) 악성코드와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있다. 이 악성코드는 사회공학기법을 이용해 피해자를 속이면서 아마발도의 가짜 팝업창 및 입력 폼을 모방한다. 이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행 계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도한다. 

피해자의 기기에 침투한 후에는 백도어 명령을 사용해 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록한다. 또한 카스바네이로는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용되는 것으로 밝혔졌다. 이러한 데이터가 발견되면 악성코드는 해당 데이터를 공격자의 암호화폐 지갑으로 대체한다. 

카스바네이로 악성코드는 여러 암호화 알고리즘을 이용해 실행 파일 내의 문자열을 가리고 다운로드한 페이로드 및 구성 데이터를 해독하는 데 사용된다. 카스바네이로의 초기 매개체는 악성 이메일인데, 이것은 아마발도가 사용한 것과 같은 수법이다. 

카스바네이로의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동이라고 업체 측은 설명했다. 

C&C 서버는 가짜 DNS 항목이나 구글 독스에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있다. 경우에 따라 C&C 서버 도메인은 암호화되어 합법적인 웹사이트에 숨겨져 있는 경우도 있는데, 특히 유튜브에 저장된 여러 동영상의 설명에서 두드러진다. 카스바네이로는 주로 브라질 및 멕시코 은행 애플리케이션을 대상으로 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.