요약 : 보안 외신 블리핑컴퓨터에 의하면 2023년 3월부터 시작된 멀웨어 캠페인이 현재까지 진행되고 있으며 북미, 남미, 유럽, 일본에서 40개 은행, 5만 명 사용자가 피해를 입었다고 한다. 이 캠페인의 궁극적 목적은 자바스크립트로 만들어진 웹 인젝션을 사용해 은행 및 금융 정보를 훔치는 것이다. 공격자들은 이미 2022년 12월부터 공격에 활용될 도메인을 구입하는 등 수개월 동안 꼼꼼히 준비를 한 것으로 분석됐다. 그렇기에 수개월 동안 진행된 캠페인이 이제야 발견된 것이라고도 볼 수 있다. 게다가 공격자들은 주요 악성 코드를 피해자 웹 페이지에 직접 심어서 로딩되도록 하는 게 아니라 외부에 호스팅 해두고 피해자의 웹 페이지를 통해 이것이 임포트 되도록 함으로써 스텔스 기능을 강화시키기도 했다.


배경 : 아직까지 정확한 피해 규모는 집계되지 않고 있다. 피해자의 정확한 정체 역시 아직은 알 수 없다. 다만 다나봇(DanaBot)이라고 알려진 모듈형 뱅킹 트로이목마와의 희미한 연관성 정도만 파악되고 있다. 다나봇은 2018년 처음 등장한 멀웨어로, 구글 검색을 악용한 ‘검색 결과 포이즈닝 공격’을 통해 주로 퍼져 왔다.

말말말 : “공격에 사용된 악성 스크립트는 매우 동적인 특징을 가지고 있습니다. C&C 서버에서 내려오는 명령에 따라 유연하게 변하고 적응합니다. 공격자가 누구인지 실력이 빼어난 것으로 보입니다.” -블리핑컴퓨터-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>