코요테 뱅킹 트로이목마
연구원들은 최근 61개의 온라인 뱅킹 애플리케이션에 대한 자격 증명을 수집하도록 설계된 'Coyote'라는 고유한 뱅킹 트로이 목마를 발견했습니다. Coyote 위협이 차별화되는 점은 대부분이 브라질에 집중되어 있는 은행 부문 앱을 광범위하게 표적으로 삼는 것입니다. 이 트로이 목마는 기본 구성 요소와 고급 구성 요소의 복잡한 조합으로 유명합니다. 특히 Squirrel이라는 상대적으로 새로운 오픈 소스 설치 프로그램을 사용하고 NodeJ에 의존하며 덜 일반적인 프로그래밍 언어인 'Nim'을 활용하며 12개 이상의 유해한 기능을 자랑합니다. 이번 발견은 브라질의 번창하는 금융 악성 코드 시장에서 주목할 만한 발전을 의미하며, 초점이 더욱 확대될 경우 보안 팀에 심각한 과제를 제기할 가능성이 있습니다.
목차
브라질 사이버범죄자들은 뱅킹 트로이목마 위협에 집중해 왔습니다
브라질의 맬웨어 개발자는 최소 2000년부터 시작하여 20년 넘게 뱅킹 트로이 목마를 적극적으로 제작해 왔습니다. 24년간의 지속적인 개발을 통해 진화하는 인증 방법과 보호 기술을 능숙하게 탐색하고 극복한 이들의 창의성은 다음과 같이 분명합니다. 최신 트로이 목마의 출현.
전문가들은 현재 코요테를 주로 브라질 소비자에게 초점을 맞춘 위협으로 강조하고 있지만, 조직에서는 코요테의 잠재적인 능력을 면밀히 모니터링해야 할 강력한 이유가 있습니다. 과거 동향에 따르면 브라질 시장에서 성공을 거둔 악성 코드군은 종종 국제적으로 영향력을 확장합니다. 따라서 기업과 은행은 코요테의 영향이 확대될 경우 이를 해결할 수 있도록 경계하고 준비해야 합니다.
보안 팀이 고려해야 할 또 다른 중요한 고려 사항은 뱅킹 트로이 목마가 완전한 초기 액세스 트로이 목마 및 백도어로 진화하는 역사적 과정에 있다는 것입니다. 주목할만한 사례로는 Emotet 과 Trickbot 의 변형, 그리고 최근에는 QakBot 과 Ursinif가 있습니다. 이 패턴은 잠재적으로 보다 정교한 위협으로 발전할 수 있는 새로운 뱅킹 트로이 목마의 출현에 주의를 기울이는 것이 중요함을 강조합니다.
코요테 뱅킹 트로이 목마에는 유해한 기능이 가득한 다이버가 탑재되어 있습니다
Coyote는 스크린샷 캡처, 키 입력 로깅, 프로세스 종료, 시스템 종료, 커서 조작과 같은 다양한 명령을 수행할 수 있도록 향상된 기능 범위를 보여줍니다. 특히, 사기성 '업데이트 작업 중...' 화면을 오버레이하여 시스템 정지를 유도할 수도 있습니다.
일반적인 행동에서 Coyote는 현대 뱅킹 트로이 목마의 전형적인 패턴을 고수합니다. 감염된 시스템에서 호환되는 앱이 활성화되면 악성코드는 공격자가 제어하는 명령 및 제어(C2) 서버와 통신합니다. 그런 다음 피해자의 화면에 확실한 피싱 오버레이를 표시하여 로그인 정보를 캡처합니다. 그러나 코요테는 잠재적인 탐지에 대한 능숙한 회피 전술을 통해 차별화됩니다.
사이버 보안 방어자가 쉽게 탐지할 수 있는 Windows Installer(MSI)를 사용하는 많은 뱅킹 트로이 목마와 달리 Coyote는 Squirrel을 선택합니다. Squirrel은 Windows 데스크톱 앱 설치 및 업데이트용으로 설계된 합법적인 오픈 소스 도구입니다. Coyote는 Squirrel을 활용하여 악성 초기 단계 로더를 위장하여 겉보기에 무해한 업데이트 패키지 프로그램인 것처럼 보이도록 노력합니다.
최종 스테이지 로더는 상대적으로 흔하지 않은 프로그래밍 언어인 'Nim'으로 코딩되어 또 다른 고유성을 추가합니다. 이는 Nim을 사용하여 뱅킹 트로이 목마가 발견된 최초의 사례 중 하나입니다.
전통적으로 뱅킹 트로이 목마는 주로 다양한 악성 코드 계열에서 널리 사용되는 오래된 언어인 Delphi로 작성되었습니다. 델파이 악성 코드 탐지 방법이 수년에 걸쳐 개선됨에 따라 감염 효율성은 점차 감소했습니다. Nim의 채택으로 Coyote의 개발자는 보다 현대적인 프로그래밍 언어를 수용하여 새로운 기능을 통합하고 보안 소프트웨어의 탐지율을 낮췄습니다.
뱅킹 트로이 목마가 확산되어 글로벌 활동으로 확산됨
최근 몇 년 동안 브라질은 은행 악성코드의 글로벌 진원지로 떠올랐습니다. 브라질에서 시작되었음에도 불구하고 이러한 위협적인 프로그램은 바다와 대륙을 횡단할 수 있는 능력을 입증했습니다. 이러한 위협 뒤에 있는 숙련된 운영자는 뱅킹 트로이 목마 개발에 대한 광범위한 경험을 보유하고 있으며 공격을 글로벌 규모로 확장하는 데 큰 관심을 보입니다. 결과적으로 연구원들은 호주와 유럽만큼 광범위한 기업과 개인을 표적으로 삼는 브라질 은행 트로이 목마 사례를 관찰했습니다.
주목할만한 예 중 하나는 Grandoreiro 입니다. 이 트로이 목마는 멕시코와 스페인뿐만 아니라 멕시코와 스페인에 성공적으로 침투했을 뿐만 아니라 해당 국경 너머까지 도달 범위를 확장한 유사한 특성을 가진 트로이 목마입니다. 이 위협은 최고조에 달했을 때 총 41개국에 존재했습니다.
그러나 이러한 작전의 성공으로 인해 법 집행 기관의 감시가 강화되었습니다. 이러한 악성 코드를 촉진하는 사이버 지하 생태계를 교란하기 위한 주목할만한 조치로, 브라질 경찰은 브라질 5개 주에서 Grandoreiro 책임자를 대상으로 5건의 임시 체포 영장과 13건의 수색 및 압수 영장을 집행했습니다.
