자동 이메일링으로 자기 복제나 다름없는 기능 덧입어

[보안뉴스 문가용] 과거 악명 높았던 멀웨어가 더 강력하진 모습으로 되돌아왔다. 피오도(Feodo)와 부갓(Bugat)으로 잘 알려진 크리덱스(Cridex) 멀웨어는 데이터를 훔치는 기능으로 여럿 괴롭히더니 이제는 보다 유연하고 자동화된 모습으로 반갑지 않은 존재감을 과시하고 있다.

“시스템에 침투하면 C&C 서버와 통신을 하는 또 다른 멀웨어를 다운로드합니다. 이 두 번째 멀웨어에는 5만개의 SMTP 이메일 계정 정보가 저장되어 있습니다.” 제일 처음 이 멀웨어를 발견한 시큘러트(Seculert) 측의 설명이다.

5만개의 정보를 탑재한 이 멀웨어는 합법적인 계정으로부터 다른 공격 대상자들에게 자동으로 이메일을 발송해 자신의 씨를 여기저기 뿌려댄다. 시큘러트의 CTO인 아비브 래프(Aviv Raff)는 이 기능 때문에 해커의 허드렛일이 크게 줄어들었다고 말한다. 현재까지 파악된 바 피해자들은 대부분 독일어를 모국어로 사용하는 사람들이었다. 자동 발생하는 이메일이 독일어로 작성되기 때문이다. 또한 탈취된 정보의 46%가 독일발이다.

“보통은 다운로드를 받아도 다른 해커가 만든 비슷한 기능의 멀웨어를 다운로드 받거나 멀웨어에 추가 기능을 더해주는 플러그인만 받거나 하는데, 이렇게 그 둘을 다 수행하는 경우는 처음이었습니다. 1번 멀웨어가 2번 멀웨어를 다운로드 받고, 2번 멀웨어는 1번 멀웨어를 다운로드 받도록 유도하는 메일을 보냅니다. 굉장히 특이한 방식입니다.”

아직 5만개의 이메일 정보가 어디서부터 온 것인지 파악되지는 않았다. 시큘러트 측은 크리덱스 멀웨어가 이전 활동을 통해 탈취한 것으로 보고 있다. 크리덱스의 과거 행적과 신기능을 합한 좋지 않은 시너지가 업체들마다 가지고 있는 지적재산을 위협하고 있다는 것.

트렌드마이크로(Trend Micro) 측은 “크리덱스는 원래 제거 가능한 드라이브를 통해 퍼지는 걸로 유명했는데 이번에 새로 나오면서 블랙홀 익스플로잇 킷(Blackhole exploit kit)으로 차를 갈아탔습니다”라고 새로워진 점을 설명하며 “또 도메인 생성 알고리즘을 사용하는 변종도 있습니다. 감시망을 피하기 위해 URL을 계속해서 옮기는 방법이죠”라고 경고했다.

래프에 의하면 이번 멀웨어를 만든 해커들에 ‘국가적 후원’이 있는 것 같지는 않다고 한다. 그렇다고 해도 정보를 굉장히 많이 스캔하고 빼돌리고 있기 때문에 위험하기는 매한가지라고. “브라우저 세션 파일을 훔치는 등 멀웨어가 할 수 있는 일은 다 하고 있다고 보면 됩니다. 가져갈 수 있는 정보는 죄다 가져가서 되팔죠. 중요한 건 이 정보가 어디로 팔려가는지 전혀 알 수가 없다는 겁니다.”

델 시큐어웍스(Dell SecureWorks)도 이 멀웨어를 주시하고 있는 세력 중 하나다. “최신 변종을 조사해보았습니다만 아직 뭔가를 다운로드하는 걸 관찰할 수는 없었습니다. 모듈화가 잘 되어 있고, 공격대상의 특성에 맞는 맞춤형 플러그인을 다운로드 받는 것으로 보입니다. 결국 시스템마다 다른 플러그인을 실행해 공격하는 것으로 보입니다.” 델 시큐어웍스의 멀웨어 감시총괄 조 스튜어트(Joe Stewart)의 설명이다.

하지만 이런 메일링 및 자기 복제 기능이 완전히 혁신적이거나 놀라운 발전은 아니라고 한다. “이미 과거에도 있었던 기능이며 수법입니다. 멀웨어를 만드는 사람들이 전부 혁신적인 천재가 아니라는 뜻이죠.” 시큘러트는 웹사이트를 통해 이번 멀웨어에 대한 자세한 분석 보고서를 배포하고 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>