요약 : 보안 외신 해커뉴스에 의하면 브라질 해커들이 만든 것으로 보이는 새 멀웨어가 등장했다고 한다. 이름은 삼바스파이(SambaSpy)로, 아직까지는 이탈리아의 사용자들을 공격하는 데에만 활용되고 있다. 보안 업체 카스퍼스키(Kaspersky)에 의하면 “특정 인물이나 단체를 노리는 표적 공격은 아니지만, 이상하게 한 국가에서만 공격이 벌어지고 있다”고 한다. 공격자들이 본격적인 캠페인을 실시하기 전에 이탈리아 사용자들을 대상으로 실험을 진행하는 것으로 추정된다.


배경 : 이번 공격은 피싱 이메일로부터 시작한다. 메일에는 HTML 파일이 첨부되어 있기도 하고, 링크가 삽입되어 있기도 하다. 여기에 반응하면 감염 프로세스가 시작된다. 다운로더나 드로퍼가 먼저 설치되고, 이를 통해 RAT 페이로드가 원격 서버로부터 다운로드 된다. 이 RAT가 삼바스파이다. 삼바스파이는 자바로 개발됐다. 피해자가 이탈리아어로 설정된 브라우저를 사용할 경우에만 위의 공격 절차들이 발동된다.

말말말 : “공격자들이 사용하는 HTML 내 자바스크립트 코드에는 브라질에서 사용되는 포르투갈어로 작성된 코멘트들이 포함되어 있습니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>