59개의 은행, 핀테크, 암호화폐 플랫폼을 표적으로 삼는 새로운 브라질 뱅킹 트로이목마 'TCL뱅커(TCLBANKER)'가 발견됐다.
보안 연구소 엘라스틱 시큐리티 랩스(Elastic Security Labs)는 지난 8일(현지시간) 이 악성코드 활동을 'REF3076'으로 추적하고 있다고 밝혔다. 이 악성코드는 '매버릭(Maverick)' 제품군의 주요 업데이트 버전으로 평가된다. 매버릭은 'SORVEPOTEL'이라는 웜을 이용해 왓츠앱 웹(WhatsApp Web)으로 피해자 연락처에 확산하는 것으로 알려져 있으며, 보안 업체 트렌드 마이크로(Trend Micro)는 이 캠페인을 '워터 사시(Water Saci)'라는 위협 집단의 소행으로 보고 있다.
공격의 핵심은 강력한 분석 방지 기능을 갖춘 로더로, 이는 완전한 기능을 갖춘 뱅킹 트로이목마와 왓츠앱, 마이크로소프트 아웃룩(Microsoft Outlook)을 통해 전파되는 웜 구성요소를 배포한다. 감염 경로는 ZIP 파일 내 악성 MSI 설치 프로그램을 포함하며 이 패키지는 '로지 AI 프롬프트 빌더(Logi AI Prompt Builder)'라는 서명된 로지텍(Logitech) 프로그램을 악용한다.
악성코드는 DLL 사이드 로딩(DLL side-loading)을 이용해 악성 DLL 파일('screen_retriever_plugin.dll')을 실행한다. 이 파일은 로더 역할을 하며 분석 도구, 샌드박스, 디버거, 안티바이러스 소프트웨어 등을 지속적으로 감시해 탐지를 회피하는 종합적인 감시 서브시스템을 갖추고 있다. 또한 엔드포인트 보안 소프트웨어가 설정한 사용자 모드 후크(hook)를 제거하고 윈도우용 이벤트 추적(ETW) 기능도 비활성화한다.
또한 악성코드는 디버깅 및 가상화 방지, 시스템 디스크 정보, 언어 확인을 기반으로 3개의 지문을 생성한다. 이 지문들은 내장된 페이로드를 해독하는 데 사용되는 환경 해시 값을 만드는 데 사용된다. 특히 시스템 언어 검사를 통해 사용자의 기본 언어가 브라질 포르투갈어인지 확인한다. 엘라스틱은 "만약 디버거가 존재하면 잘못된 해시가 생성되어 페이로드가 정확히 해독되지 않고 TCL뱅커 실행이 중단될 것"이라고 설명했다.
이러한 확인 절차 후 실행되는 주요 구성 요소는 뱅킹 트로이목마다. 이 트로이목마는 다시 한번 브라질 시스템에서 실행 중인지 확인한 후 예약된 작업을 통해 지속성을 확보하고, 외부 서버에 기본 시스템 정보가 포함된 HTTP POST 요청을 보낸다.
TCL뱅커는 자체 업데이트 메커니즘과 UI 자동화(UI Automation)를 사용해 구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지 등 인기 브라우저의 주소 표시줄에서 현재 URL을 추출하는 모니터링 기능도 포함한다. 추출된 URL이 공격 대상 금융 기관 목록과 일치하면 원격 서버와 웹소켓(WebSocket) 연결을 설정하고 운영자가 쉘 명령 실행 등 다양한 작업을 수행할 수 있도록 명령 전달 루프에 들어간다.
헬로티 구서경 기자 |
