20Kb 미만의 작은 틴바 멀웨어 시리즈, 5번째 업그레이드
유럽, 아프리카, 미국 주로 노리다가 최근엔 아태지역에서 활동

[보안뉴스 문가용] 유명 뱅킹 트로이목마 멀웨어인 틴바(Tinba)의 다섯 번째 변종이 아시아 태평양 지역에서 발견되었다. 최초의 발견은 2015년 11월에 이루어졌으며 해당 멀웨어를 추적한 F5가 최근 보고서를 발표함으로써 세간에 알려졌다. 이미 해당 멀웨어 때문에 수천 만 달러의 손해가 발생했다고 한다.

틴바는 타이니뱅커(Tinybanker), 주시(Zusy), 헌터스(HμNT€R$)라는 이름으로도 불리며 2012년 5월부터 활동을 시작했다. 처음엔 유럽, 중동, 아프리카 지역에서 주로 발견되었으나 점차 미국으로 활동 지역을 넓혀갔다. 그리고 현재에 아시아에까지 이른 것.

틴바 시리즈 멀웨어의 특징은 20Kb 내외의 작은 사이즈다. 또한 실행이 되는 동안 네 가지 시스템 라이브러리(ntdll.dll,advapi32.dll, ws2_32.dll, user32.dll)를 사용한다. 하지만 무엇보다 적발된 후부터 계속해서 업그레이드 되고 있다는 것이 가장 큰 특징이기도 하다. 최근 발견된 것이 5번째 업그레이드 버전.

이번 버전의 이름은 틴바포어(Tinbapore)로 스팸 메일을 통해 퍼지며 로그인 크리덴셜을 지속적으로 탈취한다. 악성 HTML과 자바스크립트 코드를 사용자의 브라우저에 주입한다. 그렇게 탈취한 정보를 C&C 서버로 보낸 후에는, 해당 정보를 활용해 비허가 매매 등 추가적인 사기 행위를 시도한다.

F5에 의하면 해당 멀웨어의 표적이 된 기관 및 업체의 30%가 싱가포르에 있다고 한다. 대륙별로 봤을 때 70%는 아태지역, 15%가 EMEA 지역, 15%가 미주 지역이다. 이전 버전 틴바의 소스코드는 2014년 7월에 대대적으로 공개된 바 있다. 당시 틴바의 주요 표적은 유럽의 은행들이었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>