주로 독일과 일본의 금융 기관을 노리는 것으로 밝혀져

[보안뉴스 문가용] 혹시 특정 대상을 공격하기 위한 봇넷이 필요하긴 한데 직접 손을 더럽히기는 싫은 사람이 있는가? 그런 해커 혹은 예비 해커들을 위해 보트랙(Vawtrak)이라는 게 존재한다. 보트랙은 대형 봇넷으로 작은 단위로 잘게 쪼개지는 게 가능하며, 각 단위는 여러 형태로 웹 곳곳에 주입될 수 있다.

최근 소포스랩스(SophosLabs)에서 발행한 보고서에 의하면 보트랙은 CaaS, 즉 서비스형 범죄형 소프트웨어(Crimeware-as-a-Service)의 강력한 비즈니스 모델로 각광받고 있다고 한다. 특히 고객의 요청에 맞춰 기능을 유연하게 조정할 수 있어 인기리에 팔리고 있다고 한다. 그 기능 자체가 강력함은 두말할 것도 없고 말이다.

보트랙은 네버퀘스트(NeverQuest)나 스니풀라(Snifula)라는 이름으로도 불리고 있으며 온라인 은행 계좌 정보를 노리는 것으로 알려져 있다. 로그인 정보, 식별 정보, 2중 인증 정보, 접근 가능한 계좌, 기금이 송금되는 현황 등을 탈취하며 멀웨어의 기본인 ‘숨기 기능’ 역시 강력하다. 어지간한 백신은 무력화시킬 수 있으며 모바일에서도 기능을 발휘한다는 게 보고서의 내용이다.

봇넷과 관련된 범죄용 소프트웨어 시장에서 보트랙은 현존하는 가장 큰 위협거리라고 보고서는 정의하고 있다. 보트랙은 최초에 익스플로잇 키트(보통 앵글러 EK)를 통해 감염되며, 금융 기관을 사칭한 스팸 메일이나 포니 로더(Pony Loader)와 같은 멀웨어 로더 역시 주요 감염 경로다. .exe 확장자를 가지고 있는 경우도 있으나 대부분은 DLL 파일이다.

보트랙의 진정한 힘은 ‘특성화’에 있다. 주로 독일과 일본의 금융기관을 노리고 있다고는 하지만 은행마다 접근하는 방식이 다르다. 이에 대해 보고서는 다음과 같이 설명하고 있다.

“대규모 봇넷이 소규모로 쪼개져 각기 다른 목표를 가지고 다른 기능을 발휘하고 있다. 그리고 이 봇넷들은 특정 국가의 금융 기관을 주로 노리고 있다. 보트랙의 소유자는 그렇게 잘게 썰린 ‘모듈화 공격’을 마친 후 전체적인 성과가 어느 정도인지 계산하고, 그걸 다시 유닛별로 나눌 수 있다. 요청에 따라 보트랙은 다른 방식으로 나뉘어 전혀 다른 방식의 공격을 하는 것도 가능하다. 이런 유연함과 계산의 편이성 때문에 비즈니스 모델을 창출하는 게 가능해지고, 실제 고객들의 요청에 따라 보트랙을 유연하게 운영하는 것도 가능해진다.”

실제로 보트랙의 운영자들은 광범위한 웹 인젝트를 제공한다. 암호를 빼돌리기 위해 가짜 로그인 페이지를 생성하기도 하고 사용자에게 가는 진짜 메시지를 차단하기 위해 사용자를 강제로 로그아웃시키기도 한다. 혹은 사용자가 채워 넣어야 하는 온라인 양식에 있지도 않은 항목을 몰래 삽입하기도 하고 2중 인증에 필요한 1회용 암호를 빼돌리기도 한다. 전체 보고서는 여기서 열람이 가능하다(영문).

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>