남미 은행 사용자들 괴롭히던 메코티오, 일당 체포 이후에도 활동 이어가

요약 : 한 동안 남미 은행들을 괴롭히던 트로이목마 메코티오(Mekotio)가 다시 나타났다. 메코티오 운영자들 일부는 스페인에서 국제 공조로 체포됐고, 그 후 활동량이 급격히 줄어들었던 바 있다. 하지만 최근 새로운 감염 전략과 기능을 탑재한 채 부활했고 이미 100건 이상의 공격을 감행한 것으로 보인다. 사이버 공격자들은 일당이 체포된 이후에도 계속해서 활동을 지속시키기 위한 변화를 꾀하는 데 전혀 게으르지 않다는 것이 드러났다.


배경 : 메코티오 뱅킹 트로이목마는 온라인 뱅킹을 위한 크리덴셜 탈취에 특화되어 있는 멀웨어다. 지난 7월 운영진 일부가 체포된 직후부터 탐지를 회피하기 위한 멀웨어 변경 작업을 시작한 것으로 보인다. 실제 새 버전의 메코티오는 현재 낮은 탐지율을 기록하고 있다.

말말말 : “대대적인 변화를 꾀한 건 아닙니다. 난독화 기능에 아주 약간의 변화만 있었을 뿐입니다. 하지만 이런 약간의 변화도 시그니처 기반의 탐지 솔루션을 무력화시키는 데에는 충분합니다.” -체크포인트(Check Point)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>