테르돗, 금융 정보 수집하며 이메일·SNS 트래픽도 감시
미국·캐나다·영국 등 공격... 배후로 동유럽 공격자 추정

[보안뉴스 오다인 기자] 뱅킹 트로이목마가 뱅킹 트로이목마 그 이상이라면? 뱅킹 트로이목마가 사이버 스파이 공격의 일환으로 사용되고 있다는 연구 결과가 나왔다.


보안 업체 비트디펜더(Bitdefender) 연구진은 테르돗(Terdot)이라는 뱅킹 트로이목마를 발견했다. 테르돗은 피해자의 금융 정보를 수집할 뿐만 아니라 이메일 및 소셜 미디어 플랫폼상의 트래픽을 관찰하고 조작할 수 있는 멀웨어였다. 게다가 테르돗은 크리덴셜을 훔치고 방문한 웹 페이지에 HTML 코드를 삽입하는 데다 파일을 다운로드 받거나 실행할 수도 있었다.

테르돗은 2011년 제우스(Zeus) 뱅킹 트로이목마의 소스 코드 유출에서 영감을 받아 제작됐다. 하지만 뱅킹 트로이목마들 사이에 유사점이 나타나는 건 흔한 일이고, 코드가 대중에 공개된 것도 제우스가 처음이 아니다. 미라이(Mirai), 킨스(KINS), 카르버프(Carberp) 멀웨어에도 일어난 일이다.

비트디펜더의 수석 애널리스트 보그단 보테자투(Bogdan Botezatu)는 비트디펜더가 테르돗을 처음 포착한 시점은 2016년 10월이라고 말했다. 테르돗은 뱅킹 트로이목마의 주요 기능을 수행한다. 악성 이메일 내의 PDF 링크를 위장한 버튼을 클릭하면 테르돗이 기기를 감염시키고, 트랜잭션을 조작하기 위해 웹 프록시를 만든다. 테르돗은 피해자가 은행으로 보내는 모든 데이터를 가로채면서 실시간으로 조작할 수 있고, 은행이 보내는 데이터 역시 도중에 가로채고 조작할 수 있다.

해커들은 테르돗을 통해 금융 정보보다 훨씬 더 많은 데이터를 수집할 수 있다. 테르돗은 브라우저 내에 있기 때문에 해당 브라우저에 무엇이 포스팅되든지 간에 무제한적으로 접근할 수 있다.

보테자투는 “컴퓨터에서 민감한 정보를 빼내는 데 웹 프록시가 사용된다”며 “이런 수법은 돈을 쫓는 것이 아니다”고 설명했다. “테르돗은 로그인된 세션의 쿠키나 이메일 계정과 소셜 네트워크 계정의 크리덴셜을 수집합니다.”

테르돗은 페이로드를 보호하기 위해 일련의 드로퍼와 삽입 툴, 다운로더 등을 사용한다. 중간자 공격을 행하는 테르돗은 방문하는 모든 도메인에 자체적인 인증 기관(Certificate Authority)을 생성하고 인증서를 만들어냄으로써 전송 계층 보안(TLS)에 의한 제한들을 우회할 수 있다. 또한, 테르돗은 브라우저 프로세스에 스스로를 삽입함으로써 활동을 감시하거나 스파이웨어를 삽입시킬 수도 있다.

미국, 캐나다, 영국, 독일, 호주 등이 타깃 지역으로 나타났다. 자주 공격당한 웹사이트로는 캐나다의 PC파이낸셜(PCFinancial), 데자르뎅 그룹(Desjardins), BMO, 왕립은행(Royal Bank), 스코샤 은행(Scotiabank), CIBC 등이 올랐다. 피해가 있었던 이메일 제공업체들은 마이크로소프트의 라이브닷컴(live.com), 야후 메일, 지메일 등이었으며, 소셜 미디어 플랫폼 중에서는 페이스북, 트위터, 구글 플러스, 유튜브 등이 피해를 입었다.

테르돗은 러시아의 소셜 미디어 플랫폼 VK로부터 데이터를 수집하지 말라고 특정하게 조작돼 있었는데, 이를 보면 배후에 동유럽 공격자들이 있을 것으로 추측된다.

탐지와 방어
보테자투는 멀웨어가 운송되는 방식과 트로이목마가 내포하는 피해 때문에 테르돗이 기업체에 심각한 위험이 될 수 있다고 경고했다. 그러나 테르돗이 소셜 미디어 트랜잭션을 가로챌 때 사용하는 모듈은 멀웨어에 소비자 차원의 주의도 요구한다고 덧붙였다.

“회계 부서에 있는 사람들이 페이스북에서 굉장히 오랜 시간을 보내리라고는 생각하지 않습니다.” 보테자투는 테르돗을 탐지하고 제거하는 일은 극도로 어렵다면서 “이 멀웨어는 없어지지 않고 오랫동안 지속시키기 위한 모듈을 갖고 있다”고 설명했다. “테르돗은 감염 기기상의 모든 프로세스에 멀웨어 자체를 삽입합니다. 그러면 이 프로세스들은 서로에 대해 감시견 역할을 하게 되죠.”

보안 업체 발빅스(Balbix)의 제품 및 디자인 부사장인 마노 아스나니(Manoj Asnani)는 테르돗이 피싱과 중간자 공격 두 가지를 다 사용하기 때문에 공격 매개를 최대한 많이 감시할 수 있는 침해 예측 시스템을 보유한 기업들이 테르돗의 공격을 더 잘 막아낼 수 있을 것이라고 말했다.

“오늘날 탐지 솔루션의 대부분은 하나의 공격 매개에 초점을 맞추고 있다는 사실을 기억해야 합니다.” 아스나니는 “다중 매개 시스템은 이런 경우를 대비해 필요하다고 볼 수 있습니다. 침해된 인증서 또는 허위로 만들어진 인증서를 탐지해주거나 사용자에게 피싱 위험에 대해 선제적으로 알려줄 수 있는 시스템을 구축해놓아야 합니다.”

예상치 못한 트렌드
이 같은 발견은 금융 기관을 노린 멀웨어가 점차 증가하고 있는 추세와도 맞물린다.

아스나니는 앞서 2012년과 2016년 사이에 뱅킹 트로이목마의 전성기를 목격한 바 있다며 “뱅킹 트로이목마의 재등장을 보고 있는 것”이라고 설명했다. “하지만 트렌드가 이렇게 진행될 것이라고는 전혀 예상하지 못했습니다.”

뱅킹 트로이목마가 다시 모습을 드러냈다는 건 꽤 흥미로운 사실이다. 랜섬웨어 같은 상대적으로 더 쉬운 공격들에 비해 뱅킹 트로이목마 공격에는 여러 명의 공격자가 필요하고, 공격을 개시하거나 이윤을 내는 것도 어렵기 때문이다. 보테자투는 앞서 트로이목마 코드가 유출된 데다 랜섬웨어 시장이 과포화 됐기 때문에 뱅킹 트로이목마가 귀환한 것이라고 말했다.

이와 관련, 최근에 보안 업체 트렌드 마이크로(Trend Micro) 연구진은 원래 형태에 몇 가지 수정을 가한 뱅킹 멀웨어 이모텟(Emotet)이 다시 등장했다고 밝히기도 했다. 이모텟의 이번 버전은 탐지와 분석을 피하기 위해 업데이트 돼 있었다. 예컨대, RunPE 드로퍼를 윈도우 API로 바꿔치기해서 발견하기 어렵게 만드는 수법이 적용됐다. 분석 차단 기술로, 스캐너가 언제 활동을 모니터링 하는지 확인해서 탐지를 피하기도 했으며 샌드박스 내에 있는 시기를 확인해서 탐지를 피하기도 했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>