2월 16일(현지 시각), 해외 사이버보안 전문 매체 해커뉴스가 지난 2년간 금융 기관과 테크 기업을 겨냥한 멀웨어 공격이 이어진 사실을 보도했다.
매체에 따르면, 소프트웨어 기업 체크 포인트(Check Point) 연구팀은 트릭봇(TrickBot)이라는 이름의 멀웨어가 뱅크 오브 아메리카와 마이크로소프트, 페이팔, 웰스파고, 아마존 등 세계 주요 테크 기업과 금융 기업 60곳을 겨냥한 공격을 개시한 것을 확인했다.
트릭봇은 2020년부터 세계 주요 기업 수십 곳을 대상으로 사이버 공격을 이어오면서 보안 프로그램과 공격 사전 감지 우회 능력이 한 층 강화됐다. 트릿봇의 injectDll 웹 주입 모듈이 은행업무 및 자격 증명 데이터를 도용하는 역할을 하며 웹페이지를 손상시키고 소스 코드를 정밀하게 검사하려는 시도를 방해했기 때문이다.
트릭봇이 tabDLL 모듈을 이용해 사용자의 민감 정보를 탈취하고는 이터널로맨스(EternalRomance) 취약점을 동원한 SMBv1 네트워크 공유를 통해 멀웨어를 유포해온 사실도 드러났다.
이 외에도 연구팀은 트릭봇 감염 일부로 배포된 모듈인 pwgrabc는 아웃룩과 파일질라(Filezilla), WinSCP, RDP, 푸티(Putty), 오픈SSH(OpenSSH), 오픈VPN(OpenVPN), 팀뷰어(TeamViewer) 등 여러 응용 프로그램에서 패스워드를 탈취하도록 설계된 것을 발견했다.
체크 포인트 연구원 알리아카산더 트라핌척(Aliaksandr Trafimchuk)과 라만 라두츠카(Raman Ladutska)는 “트릭봇은 20가지 이상의 모듈을 동원해 다운로드하는 즉시 악성 공격을 실행하는 교묘한 멀웨어이다”라고 설명했다.
이어, “트릭봇은 민감 정보를 탈취하고, 악성 공격 운영 조직에 공격 대상이 된 기관 포털 접근 권한을 부여했다”라고 덧붙였다.
한편, 체크 포인트 연구팀이 확인한 트릭봇의 공격 대상이 된 기업이 모두 악성 공격 피해를 본 것은 아니며, 공격 대상이 된 기업 자체보다는 고객이 더 심각한 타격을 받았을 것으로 추정된다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
