Home > 전체기사
떠오르는 브라질 해커들, 최근 백신 삭제 기능을 멀웨어에 더해
  |  입력 : 2019-05-15 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
브라질 해커들, 유연한 모습이 가장 큰 특징...가장 골치 아픈 특성
해외로도 수출된 밴로드 멀웨어...최근 백신 지우는 기능까지 더해져


[보안뉴스 문가용 기자] 최근 사이버 범죄 분야에서 떠오르고 있는 국가가 있다. 바로 브라질인데, 브라질의 해커들은 적응력에서 남다른 특징을 보이고 있다. 브라질의 금융 법은 대단히 엄격하여 해외 송금이라는 것이 해커들로서는 높은 장벽이다. 그래서 사이버 공격의 표적은 대부분 브라질 국내로 한정된다. 또한 공격의 표적도 필요에 따라 금방 갈아치운다.

[이미지 = iclickart]


하지만 은행을 터는 해커들의 경우 조금은 다르다. 주로 은행 그 자체와 은행 고객들을 노리는 공격을 실시하는데, 이 때 사용되는 뱅킹 멀웨어들은 브라질 해커들이 보여주는 유연성을 갖추지 못하고 있는 경우가 대부분이었다. 그러나 최근 보안 업체 센티넬원(SentinelOne)이 발견한 바에 의하면 현재 브라질에서 가장 많이 사용되기 시작한 뱅킹 멀웨어인 밴로드(Banload)는 굉장히 유연하다고 한다. “일단 공격 표적을 바꾸는 데 있어 굉장히 가벼운 발놀림을 보여줍니다.”

보안 업체 사이버리즌(Cybereason)도 밴로드를 분석했다. “밴로드는 브라지에서 탄생해 브라질 바깥으로 수출된 몇 안 되는 멀웨어 중 하나입니다. 아르헨티나, 볼리비아, 칠레, 베네수엘라, 스페인 등 주로 스페인어를 구사하는 나라들에서 발견되고 있지요.” 보안 업체 이셋(ESET)의 경우는 2019년 4월 30일에 “그래도 밴로드의 82.9%가 브라질에서 발견되고 있다”고 발표한 바 있다.

브라질은 남미에서 인구가 가장 많은 국가다. 은행과 관련된 사이버 공격을 저지른다고 했을 때 ‘먹잇감’이 굉장히 풍부하다. 또한 지난 몇 년 동안 온라인 뱅킹이 활성화 된 것도 은행 공격자들에게는 좋은 소식이다. 다만 일반 국민들 사이에서 사이버 보안 인식이 오르고 있는 편이라 사이버 공격이 늘 쉬운 건 아니게 되었다. 이에 해커들은 밴로드에 새로운 요소를 추가했다. 파일딜리트(FileDelete)라는 것인데, “소프트웨어 드라이버와 인기 높은 백신 및 뱅킹 보호 프로그램의 실행 파일을 찾아 삭제하는 커널 모드 드라이버”다.

파일딜리트는 파워셸을 통해 로컬 디렉토리인 C:\G DATA Security Software로 전달된다. M2 AGRO DESENVOLVIMENTO DE SISTEMAS LTDA라는 이름으로 코드 서명이 되어 있다. 서명 날짜는 2019년 3월 31일이다. 파일딜리트가 주로 노리는 제품은 AVG, 트러스티어 라포트(Trusteer Rapport), 어베스트(Avast), 브라데스코(Bradesco) 등에서 출시한 것들이다.

센티넬원은 “서명이 된 드라이버 자체로만 보면 대단히 기술력이 뛰어난 것은 아니”라고 설명한다. “하지만 계속해서 요소가 추가되고, 빠르게 공격에 활용되는 것을 보면 밴로드 배후에 있는 공격자들이 부지런하고 사이버 공격 ‘비즈니스’에 진지하게 임하고 있다는 걸 알 수 있습니다. 방어자에게 있어 가장 껄끄러운 건 공격자들의 남다른 의지이지, 당장의 기술력은 아닙니다.”

보안 업체 레코디드 퓨처(Recorded Future)는 “밴로드의 이러한 특징은 브라질 해커들의 유연함을 그대로 나타내고 있는 것”이라고 짚는다. “확실히 브라질 내에서의 백신 및 보안 소프트웨어 사용량은 증가하고 있어요. 그래서 공격자들이 ‘그럼 백신을 지우자’는 대응책을 들고 나온 것이죠. 브라질 해커들의 이러한 유연성이 세계로 쏟아져 나오는 순간 사이버 범죄자들을 억제하는 건 더 힘든 일이 될 것으로 보입니다.”

3줄 요약
1. 브라질 해커들의 가장 큰 특징은 유연함.
2. 은행 노리는 사이버 공격 만연하고, 그 중에서 밴로드가 눈에 띔.
3. 일반인들 사이에서의 사이버 인식 높아지자, 밴로드도 업그레이드 되기 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)