Ursa라고도 알려진 Mispadu는 멕시코, 콜롬비아, 아르헨티나, 칠레, 포르투갈, 스페인 등과 같은 스페인어 및 포르투갈어권 국가를 대상으로 하는 원격 오버레이 금융 멀웨어입니다. 간단히 말해, 원격 오버레이 멀웨어는 사기범이 피해자의 실시간 화면을 보는 동안 마우스와 키보드 장치를 제어하여 피해자의 시스템을 제어하도록 설계된 악성 프로그램입니다.
미스파두는 2019년에 처음 등장했으며 2022년에 다시 등장했습니다. Mispadu는 Mekotio 및 Grandoreiro와 마찬가지로 Delphi 프로그래밍 언어로 작성되었습니다. 이러한 멀웨어와 달리, 최근 여러 중앙 아메리카, 라틴 아메리카 및 유럽 국가에서 새로운 캠페인이 등장하기 전까지는 실제로 흔하지 않았습니다. Mekotio에 대한 자세한 내용은 이전 블로그 게시물 '라틴 아메리카를 표적으로 삼는 Mekotio 은행 트로이 목마'를 참고하세요.
Mispadu가 다시 사업을 시작하면서 명령 및 제어(C2C) 통신 인코딩을 포함하여 운영에 몇 가지 변화가 생겼으며, 이에 대해서는 이 글에서 살펴보겠습니다.
멀웨어는 원격 오버레이로서, 운영자와 통신하는 것은 공격의 성공에 매우 중요합니다. 이 통신은 일반적으로 사기범에서 피해자의 시스템에서 실행되는 악성 프로그램으로 전송되는 일련의 작동 명령입니다.
은행 계좌를 통해 피해자의 돈을 훔치는 것과 같은 많은 오버레이 공격은 사기범이 피해자의 실시간 세션을 관찰하고 제어하는 동안 실행됩니다.
사용자가 악성 프로그램을 실행하는 즉시 사기범과 통신이 이루어지는 것이 직관적으로 보일 수 있지만, 사실은 그렇지 않습니다. 이러한 통신은 바이러스 백신 프로그램의 경고를 트리거할 수 있으므로 사기범에게 심각한 위험을 초래할 수 있습니다.
이 시나리오와 다른 원격 오버레이와 관련된 대부분의 경우에서 통신은 사용자가 멀웨어의 표적 중 하나, 특히 스페인어 또는 포르투갈어 사용 국가의 은행 인터넷 사이트에 액세스한 후에만 시작됩니다.
사용자가 멀웨어의 대상 목록 중 하나에 액세스하면 C2C 서버와의 통신이 설정되며, 이러한 통신을 위한 가장 편리한 방법을 제공하는 WIN32 소켓 API를 사용하여 이루어집니다.
소켓을 설정하기 전에 멀웨어는 대상 포트와 주소를 포함한 소켓의 정보를 채웁니다.
소켓이 연결되면 'GFHHVG..'라는 메시지가 C2C 서버로 전송됩니다.
소켓이 연결되고 비콘이 C2C 서버로 전송된 후 멀웨어는 C2C 서버의 입력을 기다립니다. 메시지가 수신되면 수신된 메시지의 순서에 따라 다음 '읽기' 함수 중 하나를 통해 처리됩니다.
이러한 기능은 서로 유사하며 그 목적은 C2C에서 받은 메시지를 구문 분석하는 것입니다.
첫 번째 함수인'TwYHJk1_wC51Read'에 대해 알아보겠습니다.
멀웨어는 C2C로부터 메시지를 수신하면 메시지를 디코딩한 다음 명령을 나타내는 문자열과 비교하여 메시지를 구문 분석합니다. 스니펫에 표시된 첫 번째 "읽기" 함수에서 첫 번째 비교 명령은 '<|SocketMain|>'입니다. 나머지 '읽기' 함수에서는 비교되는 명령이 다릅니다.
주소 0x7364A8의 함수에 주목하세요.
이 함수는 전체 메시지를 디코딩하는 역할을 합니다. 문자열을 받은 후 몇 가지 수학적 조작을 거쳐 디코딩된 문자열을 반환합니다.
이 함수의 내부를 살펴보고 알고리즘을 알아보세요.
통신 인코딩은 사기범의 의도와 조작 방법을 숨기는 역할을 합니다. 이는 기존의 통신 알고리즘이나 맞춤형 알고리즘을 사용하여 수행할 수 있습니다. 앞서 살펴보았듯이 'GFHHV..' 메시지는 인코딩된 메시지로 보이며, 이는 무작위적이고 무의미해 보이는 특성으로 인해 인코딩에 대한 의심을 불러일으킵니다.
C2C 통신 디코딩 기능을 조사하면 디코딩 메커니즘의 구현이 간단하고 C2C 서버에서 받은 메시지를 디코딩하는 목적에 부합한다는 것을 알 수 있습니다. 이 동일한 메커니즘은 C2C 서버로 전송되는 메시지를 인코딩하는 데에도 사용됩니다.
우리가 해독하려는 위의 예를 들어보겠습니다. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”
디코딩 과정을 다음 단계로 나누어 보겠습니다:
1단계: 첫 번째 문자('G' GFHHVGCGEFUGAFOFUGCFMFXHVFJ@)를 ASCII로 변환합니다. 값은 71입니다. 이 값에서 65('A'의 ASCII 값)를 뺍니다. 결과는 6입니다.
6은 디코딩 프로세스 중에 반복되는 값으로, 나중에 다시 설명하겠습니다.
2단계: 다음 문자('F' GFHHVGCGEFUGAFOFUGCFMFXHVFJ@)를 ASCII로 변환합니다. 값은 70입니다. 65('A'의 ASCII 값)를 뺍니다.
결과는 5입니다.
이를 변수 X라고 가정해 보겠습니다.
두 줄의 어셈블리 코드는 다음 방정식으로 나타낼 수 있습니다.
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
3단계: 다음 문자('H' GFHHVGCGEFUGAFOFUGCFMFXHVFJ)의 ASCII 값은 72입니다. 'A' ASCII 값을 빼면 결과는 결과 7입니다.
해당 값을 이전 단계의 결과에 더합니다. 125 + 7 = 132.
해당 값에서 상수 값 66('B')과 1단계의 값, 즉 두 값을 뺍니다. 132 – 66 – 6 = 60. ASCII에서는 '<'입니다. 이것이 우리가 해독한 문자열의 첫 번째 문자입니다.
4단계: 다음 문자 쌍('H' & 'V' GFHHVG..)으로 2단계 + 3단계를 다시 반복하여 매번 디코딩된 다음 문자를 추가하여 디코딩된 문자열을 작성합니다.
5단계: '@' 문자열의 끝을 나타냅니다 GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
이제 인코딩된 텍스트를 디코딩한 결과를 출력할 수 있습니다. 결과 출력: <|PRINCIPAL|>
이 문자열은 멀웨어가 C2C 서버로 전송한 초기 통신 비콘을 나타냅니다.
이 인코딩 및 디코딩 방법론의 한 가지 결과는 고유한 인코딩 문자가 동일한 디코딩 문자를 생성할 수 있다는 것입니다.
예를 들어, 문자 GGC와 AFV는 모두 동일한 문자 P에 매핑됩니다.
또 다른 예는 더 복잡한 시나리오입니다. 문자열에 대해 이야기하면 'GFHHVGCGEFUGAFOFUGCFMFXHVFJ'와 'AFBHPFVFXFOFTFIFOFVFGFRHPFD'는 모두 동일한 일반 텍스트로 디코딩됩니다.
이러한 인코딩 및 디코딩 알고리즘의 이점 중 하나는 네트워크를 모니터링하는 경우 디코딩 알고리즘을 얻지 않고는 멀웨어의 작동 모드를 이해하는 것이 거의 불가능하다는 것입니다. 이는 각 명령에 사용할 수 있는 인코딩 옵션이 매우 다양하기 때문에, 멀웨어가 수행하는 동일한 작동 모드가 네트워크 모니터에 매번 다르게 표시되기 때문입니다.
명령이 디코딩되면 샘플의 진행 경로는 매우 간단합니다. 각 명령에는 고유한 작동 기능이 있어 사기범은 피해자의 시스템에서 화면 모니터링, 마우스 및 키보드 제어 등을 포함하여 다양한 작업을 수행할 수 있습니다.
사기범이 피해자의 시스템에서 다양한 작업을 수행할 수 있도록 악성코드에 구현한 명령어들을 살펴보겠습니다.
통신이 설정되면 멀웨어는 '<|PRINCIPAL|>'로 표시된 비콘을 C2C 서버에 전송하여 네트워크 설정 신호를 보냅니다.
이 초기 단계가 완료되면 사기범은 피해자의 시스템을 광범위하게 제어하여 다양한 작업을 수행할 수 있습니다. 중요한 명령 중 하나는 중요한 시스템 정보를 추출하는 것입니다. 이는 피해자의 시스템에 대한 기본 세부 정보를 내보내는 데 사용되는 '< |Info|>' 명령으로 쉽게 수행할 수 있습니다. 이러한 세부 정보에는 Windows 버전, 지리적 위치, 현재 활성 브라우저 및 현재 보고 있는 웹 페이지가 포함됩니다. 다음은 이 명령에 대한 멀웨어의 응답으로 C2C 서버로 다시 전송되는 예시입니다.
'<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<'
이 응답은 피해자의 시스템이 Windows 10을 실행 중이고 Chrome을 사용 중이며 현재 오후 4시 4분 12초에 x 은행의 웹페이지를 보고 있음을 나타냅니다.
이 정보는 여러 가지 이유로 도난당합니다. 피해자 디바이스의 운영 체제를 알면 각 악성 툴이 서로 다른 시스템 버전을 지원할 수 있기 때문에 추가 악성 툴로 시스템을 손상시키는 프로세스를 용이하게 진행할 수 있으며, 피해자의 표적 은행 사이트를 알면 사기범이 공격을 성공적으로 수행하는 데 도움이 될 수 있습니다.
원격 오버레이 공격은 오늘날 사용자의 은행 계좌에 대해 가장 널리 퍼져 있는 위협 중 하나로, 은행과 고객 모두에게 상당한 위험을 초래합니다. 이러한 공격의 중요한 측면은 멀웨어가 운영자와 통신하는 것으로, 이는 운영 방법론에 필수적인 요소입니다. 이러한 공격을 실행하려면 직접적이고 실시간으로 통신하는 것이 필수적입니다. 멀웨어는 이러한 통신을 인코딩함으로써 프로세스를 되돌리고 방어벽에 또 다른 벽돌을 쌓는 것을 더 어렵게 만들려고 합니다. 사이버 보안 전문가로서 당사의 주요 목표는 이러한 통신을 모니터링, 분석 및 차단하여 사기 행위가 성공적으로 구현되지 않도록 하는 것입니다.
사용자가 자신을 보호하려면 설치된 애플리케이션을 정기적으로 검토하고 익숙하지 않거나 의심스러운 애플리케이션을 즉시 제거해야 합니다.
또한 이메일 계정에 예기치 않은 로그인 시도와 같은 비정상적인 활동이 있는지 모니터링하고 암호 화폐 지갑에 무단 거래나 알 수 없는 작업이 있는지 면밀히 주시하는 것이 중요합니다. 선제적이고 신중한 태도를 유지하면 진화하는 공격 패러다임으로 인한 위험을 완화하는 데 도움이 될 수 있습니다.
