금융권 노리는 새로운 멀웨어, 오토핫키라는 언어로 만들어져

입력 : 2020-12-31 13:54

북미 지역의 고객들 사이에서 피해 커지고 있어...브라우저에서 크리덴셜 빼내
오토핫키로 만들어진 독특한 멀웨어...장점은 유연한 공격 가능성과 낮은 탐지율

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 새로운 정보 탈취형 멀웨어를 찾아냈다. 이 멀웨어는 오토핫키(AutoHotKey)라는 프로그래밍 언어로 만들어졌으며, 브라우저에 심겨 은행 업무에 필요한 크리덴셜을 훔쳐내는 기능을 가지고 있다고 한다. 현재 북미 지역 은행들의 고객들이 피해를 입고 있는 중이다.


이 멀웨어를 활용한 캠페인은 이미 올해 초부터 시작됐다고 하며, 현재까지 스코샤뱅크(Scotia Bank), 페이팔(PayPal), 캐나다왕립은행(Royal Bank of Canada), 캐피탈 원(Capital One), HSBC의 고객들이 피해를 입은 것으로 밝혀졌다. 트렌드 마이크로가 추적했을 때 공격에 활용된 C&C 서버는 미국, 네덜란드, 스웨덴에 있는 것으로 나타났다.

오토핫키는 오픈소스 스크립팅 프로그래밍 언어로, 소프트웨어 자동화를 위한 작업에 주로 사용된다. 공격자들은 이 언어로 개발한 멀웨어를 주로 악성 엑셀 파일에 담아 피해자들에게 이메일로 전송한다. 피해자가 이를 다운로드 받아 파일을 열면 오토핫키 다운로더가 피해자의 장비에 심긴다. 이 다운로더는 여러 개의 멀웨어 요소들로 구성되어 있는데, 공격 지속성 확보를 위한 모듈, 피해자 장비의 프로파일링을 위한 모듈, 추가 오토핫키 스크립트를 실행시키는 모듈 등이 포함되어 있다.

여러 요소들을 포함하고는 있지만 다운로더의 궁극적 목표는 크리덴셜 탈취 멀웨어를 다운로드 받아 브라우저에 설치하는 것이다. 이 멀웨어는 마이크로소프트 에지, 구글 크롬, 오페라, 파이어폭스 전부에서 작동가능하며, 암호화 된 크리덴셜을 빼내는 기능을 가지고 있다.

암호화 된 크리덴셜을 브라우저로부터 추출한 이 멀웨어는 복호화를 진행하며, 그 결과물을 C&C 서버로 전송한다. 이 때 HTTP POST 요청을 활용한다고 한다. 이 멀웨어의 독특한 점은, C&C 서버를 통해서가 아니라 오토핫키 파일들을 통해 명령을 받는다는 것이다.

오토핫키를 사용했을 때의 장점은 특정 스크립트를 공격자가 결정해서 업로드할 수 있다는 것이라고 트렌드 마이크로는 설명한다. 즉 피해자 각 사람이나 각 단체를 위한 맞춤형 공격을 실행할 수 있게 된다는 것이다. 또한 핵심 요소들이 공개되는 현상 또한 막을 수 있다는 장점도 있다고 한다. 분석될 위험이 적어지고, 실제 이 캠페인을 발견하는 데 상당한 시간이 걸리기도 했다.

오토핫키로 만들어진 멀웨어는 흔히 발견되지 않는다. 멀웨어들은 주로 파이선이나 C++를 기반으로 하고 있다. 최근 고(Go)가 조금씩 범죄자들 사이에서 떠오르고는 있으나 아직 주류는 아니다. 하지만 트렌드 마이크로는 “오토핫키를 악용한 사례가 이번이 처음인 것은 아니”라고 설명을 덧붙인다. “2019년 4월에도 오토핫키로 만들어진 정보 탈취형 멀웨어가 적발된 바 있습니다.”

그 외에 보안 업체 체크포인트(Check Point) 역시 팀뷰어(TeamViewer) 설치파일을 감염시켜 유포되고 있는 오토핫키 기반 멀웨어를 발견한 적이 있다. 이 공격으로 유럽에 있는 여러 대사관 및 외교 기관들이 피해를 입었다. 네팔, 가이아나, 케냐, 이탈리아, 라이베리아, 버뮤다, 레바논의 외교 기관들에서 특히 피해가 심했다.

2019년 8월에는 또 다른 보안 업체 어베스트(Avast)가 레타덥(Retadup)이라는 멀웨어를 발견해 공격을 비활성화시킨 바 있는데, 이 멀웨어 역시 오토핫키로 만들어졌었다. 레타덥은 150개국에서 약 85만 개의 윈도 장비들을 감염시켰으며, 공격자들은 이 시스템들에 침투해 암호화폐를 채굴했다.

3줄 요약
1. 금융권 노리는 새로운 멀웨어 캠페인이 발견됨.
2. 이 캠페인은 오토핫키라는 언어로 만들어졌고, 눈에 잘 띄지 않음.
3. 현재 피해자들은 북미 지역 은행 고객들이지만 곧 다른 지역으로도 퍼질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [SKT 해킹 사태] SKT 가입자들 “인당...

• 2

  [사람과 보안] 보안은 기술이 아니라 경영의...

• 3

  과기정통부, 기업-정부 부처에 “사이버 보안...

• 4

  국토부, 도로안전 살피는 ‘2025 도로안심...

• 5

  [2025 암호화 솔루션 리포트] SKT가 ...

• 1

  CJ올리브네트웍스 디지털 인증서 北에 털렸다...

• 2

  삼성도 당했다...‘디지털 사이니지’ 해커 ...

• 3

  [특별기고] CISO는 경영의 핵심 파트너....

• 4

  아메이투라, KISA의 지문인식 알고리즘 성...

• 5

  [SKT 해킹 사태] SKT 가입자들 “인당...

• 1

  GA 해킹사고 발생..전산솔루션 해킹이 원인

• 2

  [SKT 해킹 사태] “유심 무상 교체” 키...

• 3

  [이슈칼럼] SKT 유심 해킹 사건이 일깨운...

• 4

  삼성도 당했다...‘디지털 사이니지’ 해커 ...

• 5

  마이데이터 전송 이렇게...개인정보위, 개인...