TCLBANKER 뱅킹 트로이목마

사이버 보안 연구원들이 이전에 보고되지 않았던 브라질 은행 트로이목마인 TCLBANKER를 발견했습니다. 이 악성코드는 59개의 은행, 핀테크 및 암호화폐 플랫폼을 표적으로 삼도록 설계된 고도화된 악성코드입니다. 현재 REF3076이라는 이름으로 추적되고 있는 이 캠페인은 이전에 Water Saci 위협 클러스터와 연관되었던 악명 높은 Maverick 악성코드 계열의 상당한 진화형으로 여겨지고 있습니다.

TCLBANKER는 고급 분석 방지 메커니즘, 은밀한 페이로드 전달, 그리고 손상된 통신 플랫폼을 통한 대규모 전파 기능을 통합하여 기존 공격 방식을 확장했습니다.

회피를 위해 설계된 은밀한 감염 사슬

이 공격은 Logitech에서 정식으로 서명한 Logi AI Prompt Builder라는 애플리케이션을 악용하는 MSI 설치 프로그램이 포함된 악성 ZIP 압축 파일로 시작됩니다. 악성 프로그램은 DLL 사이드 로딩을 통해 신뢰할 수 있는 애플리케이션이 'screen_retriever_plugin.dll'이라는 악성 라이브러리를 로드하도록 강제하며, 이 라이브러리가 기본 로더 역할을 합니다.

이 로더는 탐지를 회피하도록 특별히 설계된 광범위한 감시 서브시스템을 통합하고 있습니다. 디버거, 안티바이러스 제품, 디스어셈블러, 샌드박스 및 계측 도구를 포함한 보안 및 분석 환경을 지속적으로 스캔합니다. DLL은 'logiaipromptbuilder.exe' 또는 'tclloader.exe'와 같은 승인된 프로세스에 의해 실행될 때만 실행되며, 후자는 내부 테스트와 관련이 있을 가능성이 높습니다.

보안 모니터링을 더욱 회피하기 위해, 이 악성코드는 엔드포인트 보호 솔루션이 'ntdll.dll' 파일에 삽입한 사용자 모드 후크를 제거하고 Windows 이벤트 추적(ETW) 원격 측정 기능을 비활성화합니다. 또한, 안티 디버깅 검사, 가상화 감지, 디스크 정보, 운영 체제 언어 설정 등을 기반으로 여러 시스템 지문을 생성합니다. 이러한 지문은 내장된 페이로드를 복호화하는 데 사용되는 환경 해시를 생성합니다.

이 악성 프로그램은 대상 시스템이 브라질 포르투갈어를 사용하는지 여부를 구체적으로 검증합니다. 디버깅이나 분석 활동을 나타내는 모든 흔적은 잘못된 해시 값을 생성하여 페이로드 복호화를 방해하고 실행을 완전히 중단시킵니다.

시스템 전체를 장악하도록 설계된 뱅킹 트로이목마 기능

안티 분석 검사가 완료되면 주요 뱅킹 트로이목마가 배포됩니다. 시스템이 브라질 사용자 소유임을 확인한 후, 악성 프로그램은 예약된 작업을 통해 지속성을 확보하고 시스템 정보를 포함하는 HTTP POST 요청을 사용하여 외부 명령 및 제어 서버와 통신합니다.

TCLBANKER는 자체 업데이트 기능을 포함하고 있으며, UI 자동화 기술을 통해 전경 브라우저의 주소 표시줄에서 URL을 추출하여 브라우저 활동을 적극적으로 모니터링합니다. 이 악성 프로그램은 다음과 같은 널리 사용되는 브라우저를 대상으로 합니다.

• 구글 크롬
• 모질라 파이어폭스

• 마이크로소프트 엣지

• 용감한

• 오페라

• 비발디

TCLBANKER는 모니터링 대상인 은행 또는 암호화폐 웹사이트가 감지되면 원격 서버에 WebSocket 연결을 열고 명령 실행 루프에 진입합니다. 이를 통해 공격자는 시스템 정찰, 클립보드 조작, 키로깅, 스크린샷 캡처, 화면 스트리밍, 원격 마우스 및 키보드 제어, 프로세스 관리, 가짜 자격 증명 탈취 오버레이 배포 등 광범위한 악성 행위를 원격으로 수행할 수 있습니다.

고도화된 사회공학 및 자격 증명 도용

TCLBANKER는 민감한 정보를 탈취하기 위해 소셜 엔지니어링 기법에 크게 의존합니다. 이 악성 프로그램은 Windows Presentation Foundation(WPF) 기반의 전체 화면 오버레이 프레임워크를 사용하여 매우 그럴듯한 피싱 인터페이스를 표시합니다. 이러한 오버레이는 합법적인 은행 안내 메시지, 가짜 Windows 업데이트, 진행률 표시줄, 음성 피싱 대기 화면 등을 모방하여 피해자가 자격 증명을 공개하도록 유도합니다.

특히, 오버레이는 화면 캡처 유틸리티에서 숨겨져 있어 탐지 및 포렌식 분석이 훨씬 더 어려워집니다.

WhatsApp과 Outlook이 악성코드 유포 도구로 변질되었습니다

뱅킹 트로이목마와 함께, 이 로더는 WhatsApp 웹과 Microsoft Outlook을 통해 대규모로 감염을 확산시키는 웜 구성 요소를 배포합니다. WhatsApp 모듈은 인증된 브라우저 세션을 가로채고 오픈 소스 WPPConnect 프로젝트를 사용하여 피해자의 연락처에 메시지를 자동으로 전달합니다. 타겟팅 효율성을 높이기 위해 악성코드는 그룹 채팅, 방송 목록 및 브라질 이외의 전화번호를 필터링합니다.

Outlook 구성 요소는 피해자의 설치된 Microsoft Outlook 애플리케이션을 악용하여 피해자 본인의 이메일 주소에서 악성 이메일을 직접 배포하는 피싱 스팸봇으로 작동합니다. 이러한 메시지는 합법적인 계정과 신뢰할 수 있는 인프라에서 발송되기 때문에 기존 스팸 필터 및 평판 기반 보안 시스템으로는 악성 활동을 탐지하기 어렵습니다.

해당 악성 소프트웨어는 해킹된 WhatsApp 세션과 Outlook 계정을 이용하여 최대 3,000명의 연락처에 스팸 메일을 보낼 수 있으며, 피해자와 그 연락처 간의 기존 신뢰 관계를 악용하여 공격 범위를 크게 확대할 수 있다고 합니다.

위협 환경이 확대되고 있다는 징후

연구원들은 REF3076이 아직 초기 운영 단계에 있다고 보고 있습니다. 디버그 로깅 경로, 미완성된 피싱 인프라, 테스트 프로세스 이름 등의 증거는 운영자들이 캠페인을 지속적으로 개선하고 확장하고 있음을 시사합니다.

TCLBANKER는 브라질 은행 악성코드 생태계 내에서 빠르게 진화하고 있음을 보여줍니다. 한때 고도의 기술력을 가진 공격자들만이 사용하던 기술들이 이제는 일반적인 사이버 범죄 행위에서도 나타나고 있습니다. 이러한 기능에는 다음이 포함됩니다.

• 환경 기반 페이로드 복호화
• 직접 시스템 호출 생성
• 실시간 웹소켓 기반 소셜 엔지니어링
• 탈취된 통신 플랫폼을 통한 신뢰할 수 있는 메시지 전파

TCLBANKER는 정상적인 WhatsApp 및 Outlook 세션을 악용하여 기존의 보안 방어 체계를 효과적으로 우회합니다. 이 사례는 최신 뱅킹 트로이목마가 고도의 은밀성, 자동화 및 사회 공학 기법을 결합하여 매우 탄력적이고 확장 가능한 사이버 범죄 조직을 구축하는 방식을 보여줍니다.