이셋코리아는 신종 악성코드 2종 ‘미스파두(Mispadu)’와 ‘디프리몬(DePriMon)’을 발견했다고 발표했다.

미스파두는 가짜 팝업창을 사용해 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코에서 주로 발견되는 미스파두 뱅킹 트로이목마에는 백도어 기능이 포함돼 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다.

이셋 연구팀은 미스파두가 스팸과 악성 광고라는 두 가지 배포 방법을 사용하고 있다고 밝혔다. 페이스북에 맥도날드의 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결돼 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 되는 것이다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 미스파두 뱅킹 트로이목마가 다운로드 및 실행된다. 이 트로이목마는 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다. 

브라질에서는 미스파두가 크롬 확장 프로그램을 배포하는 것으로 위장했다. 이 확장 프로그램은 “크롬을 보호하세요”라고 광고하지만, 신용카드 및 온라인 뱅킹 데이터를 도용하려고 시도하는 것이다.

또다른 악성코드 디프리몬는 2017년 3월부터 활성화돼, 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지됐다. 이는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록해 디프리몬(DePriMon)으로 명명됐다.

메모리에 다운로드돼 직접 실행되는 반사형 DLL 로딩 기술을 사용하고, 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 광범위한 파일로 구성돼 있으며, 암호화가 적절하게 이뤄져 있다. 결과적으로 디프리몬은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집한다. editor@itworld.co.kr   

 

원문보기 : http://www.itworld.co.kr/news/137598