다크 테킬라, 5년간 암약한 뱅킹 악성코드

최소 2013년부터 멕시코의 은행 고객을 털어온 악성코드 유포 작전이 발견됐다. 카스퍼스키가 발견하여 Dark Tequila라고 이름 붙였다. 5년이 넘도록 발각되지 않은 것은 엄선한 표적만 공격하고, 조심스럽게 절제된 공격을 펼쳤기 때문이다.

다크 테킬라의 주된 목표는 온라인 뱅킹용 크리덴셜(로그인 정보) 탈취이지만, 다른 유명 사이트의 크리덴셜 역시 탈취한다. 오피스365, 아마존, 드롭박스 등이 포함됐다. 이 점은 2가지 측면으로 볼 수 있다. 이들 계정 자체가 여러 모로 쓸모있는 가치가 있기도 하지만, 많은 사람들이 여러 사이트에 같은 크리덴셜을 사용하기 때문이기도 하다. 우리 나라에서도 6월에 우리은행이 크리덴셜 스터핑(credential stuffing) 공격을 받아 5만 명이 넘는 피해자가 발생했다.

다크 테킬라는 스피어 피싱(spear phishing)이나 USB 기기를 통해 감염된다. 일단 실행되면 C2 서버의 엄격한 통제하에 조심스럽게 공격한다. 백신을 비롯한 보안 프로그램이 작동 중일 때나 악성코드 분석 환경일 때는 감염 활동을 하지 않는다. 멕시코가 아니거나 기타 흥미없는 대상일 때는 원격으로 스스로를 삭제한다. 보안 프로그램에 발각될 위험이 감지돼도 자폭하는데, 포렌식 툴에 추적 당하지 않도록 흔적까지 말끔히 없앤다.

정보 탈취는 키로깅을 하거나, 브라우저, 이메일/FTP 클라이언트에 저장된 암호 파일에서 추출하는 방법을 쓴다. 다크 테킬라는 지금도 활동하고 있으며, 표적은 해커의 관심에 따라 쉽게 바꿀 수 있다.

여기에서 몇 가지 기본적인 보안 팁을 다시 한번 확인할 수 있다.
보안 소프트웨어는 반드시 구동해야 한다는 것이다. 그리고 USB 기기는 여전히 악성코드의 주요한 공격 벡터(vector, 매개체)이므로, 연결시 자동실행(autorun)되지 않게 설정해야 한다. 끝으로 여러 사이트에 동일한 크리덴셜을 쓰는 것은 절대 금물이다.


관련 자료

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다