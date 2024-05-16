2024년 3월부터 IBM X-Force는 서비스형 멀웨어(MaaS)로 운영되는 것으로 보이는 Grandoreiro 뱅킹 트로이 목마를 배포하는 여러 대규모 피싱 캠페인을 추적하고 있습니다. 멀웨어를 분석한 결과, 문자열 복호화 및 도메인 생성 알고리즘(DGA) 내의 주요 업데이트 사항과 감염된 호스트에서 Microsoft Outlook 클라이언트를 사용하여 피싱 이메일을 추가로 유포할 수 있는 기능이 발견되었습니다. 최신 멀웨어 변종은 또한 1,500개 이상의 글로벌 은행을 대상으로 하여 공격자가 중남미, 아프리카, 유럽 및 인도태평양 지역을 포함한 60개 이상의 국가에서 은행 사기를 수행할 수 있도록 합니다. 전통적으로 캠페인은 라틴아메리카, 스페인, 포르투갈에 제한되어 있었지만, X-Force는 최근 멕시코 국세청(SAT), 멕시코 연방전력위원회(CFE), 멕시코 행정·재무부, 아르헨티나 국세청, 그리고 특히 남아프리카 국세청(SARS)을 사칭하는 캠페인을 관찰했습니다. 재작업된 멀웨어와 새로운 표적화는 최근 Grandoreiro에 대한 법 집행 조치 이후 전략의 변화를 나타낼 수 있으며, 이는 운영자들이 남아프리카 공화국을 시작으로 글로벌 피싱 캠페인에서 Grandoreiro의 배포를 확대하기 시작하도록 촉발할 가능성이 높습니다.
2024년 3월부터 X-Force는 멕시코 국세청(SAT), 멕시코 연방전력위원회(CFE), 멕시코시 행정·재무부, 그리고 아르헨티나 국세청을 사칭하는 피싱 캠페인을 관찰해 왔습니다. 이 이메일은 멕시코, 콜롬비아, 칠레의 최상위 도메인(TLD)인 '.mx', '.co', '.cl'을 포함한 라틴 아메리카 내 사용자를 대상으로 합니다. 개인 정보 보호를 위해 이미지에서 실제 신원은 모두 삭제되었습니다.
첫 번째 캠페인은 공식적이고 긴급한 캠페인으로 인식된 것으로 보이며, 대상에게 아직 지급되지 않은 연방 납세자 등록 수수료(RFC) 차변에 관한 최종 통지를 받고 있음을 알립니다. 지불하지 않을 경우 처벌, 벌금 및 사용자의 납세자 식별 번호 차단이 발생할 수 있으며, 이는 대상이 사업을 수행하고 정부 서비스에 합법적으로 액세스할 수 있는 능력에 영향을 미칩니다. 또 다른 캠페인은 멕시코 연방전력위원회(CFE)를 사칭하여 수신자가 CFE메일을 구독하고 있으므로 포함된 링크 중 하나를 클릭하면 PDF 및 XML 형식의 계정 명세서에 액세스할 수 있음을 상기시킵니다. 행정재정부 장관을 사칭한 세 번째 캠페인은 수신자가 PDF를 클릭하여 규정 준수 고지에 관한 세부 정보를 읽도록 유도합니다. 아르헨티나 국세청을 모방한 캠페인은 사용자에게 새로운 세금 서류를 다운로드하고 해당 조치를 취하도록 안내합니다.
각 캠페인에서 수신자는 링크를 클릭하여 사칭한 엔티티에 따라 송장 또는 수수료, 계정 명세서, 결제 등을 확인하라는 지시를 받습니다. 링크를 클릭하는 사용자가 특정 국가(캠페인에 따라 멕시코, 칠레, 스페인, 코스타리카, 페루 또는 아르헨티나)에 있는 경우 PDF 아이콘 이미지로 리디렉션되고 ZIP 파일은 다운로드할 수 있습니다. ZIP 파일에는 이메일이 전송되기 전날 또는 당일에 생성된 것으로 확인된 PDF 아이콘으로 위장한 대용량 실행 파일이 포함되어 있습니다.
그림 1, 2: SAT 및 CFE를 사칭하는 샘플 이메일
그림 3, 4: 행정 및 재무 장관 및 AFIP
일반적으로 Grandoreiro 멀웨어는 라틴 아메리카 내 사용자를 대상으로 하는 캠페인에서 볼 수 있습니다. 그러나 최근 Grandoreiro 운영자가 관련된 체포 이후 X-Force는 스페인, 일본, 네덜란드, 이탈리아의 TLD를 포함하여 중남미 이외 지역에 도달하는 캠페인이 급증하는 것을 확인했습니다. X-Force는 납세자 지원 서비스 부서에서 보낸 것으로 사칭한 남아프리카 국세청(SARS)을 사칭하는 피싱 캠페인을 관찰했습니다. X-Force는 동일한 운영자가 실행한 것으로 추정되는 멕시코 국세청을 사칭하는 두 건의 캠페인을 관찰했습니다. 이메일은 영어 또는 스페인어로 작성되며 형식은 동일합니다. 이메일은 세금 번호를 참조하며 수신자에게 남아프리카 공화국 국세청에서 정한 규정 또는 세무청의 규정을 준수하는 전자 세금 청구서를 수신하고 있음을 알려줍니다. 사용자에게는 청구서를 볼 수 있는 PDF 또는 XML 링크가 제공되며 이 링크는 Grandoreiro 로더 실행 파일 "SARS 35183372 eFiling 32900947.exe" (숫자는 샘플마다 다름)가 포함된 ZIP 아카이브 다운로드를 시작합니다.
그림 5, 6, 7: SAT 및 SARS를 사칭하는 샘플 이메일
이전 캠페인과 마찬가지로 Grandoreiro의 감염 체인은 맞춤형 로더로 시작됩니다. 자동 안티바이러스 검사를 방해하기 위해 실행 파일의 크기가 100MB 이상으로 커지는 경우가 많습니다. 자동 실행을 피하기 위해 Adobe PDF Reader를 모방한 작은 CAPTCHA 팝업이 표시되며, 실행을 계속하려면 클릭 한 번이 필요합니다.
그림 8: Grandoreiro 가짜 Adobe PDF 리더 CAPTCHA
로더에는 세 가지 주요 작업이 있습니다.
이러한 모든 작업에는 120개 이상의 중요한 문자열이 필요하며, 이 문자열은 개선된 알고리즘을 사용하여 암호화됩니다.
먼저 Grandoreiro는 하드 코딩되고 트리플 Base64 인코딩된 큰 키 문자열을 생성하는 것으로 시작합니다. 이 샘플에서 관찰된 키는 "D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…"로 시작합니다.그런 다음 암호화된 문자열을 가져와 사용자 지정 디코딩을 사용하여 바이트로 해석되는 일련의 16진수 문자로 변환합니다.
그림 9: Grandoreiro 사용자 정의 16진수 인코딩('"'과 같은 16진수가 아닌 문자 인코딩은 사용되지 않음)
Grandoreiro는 키 문자열을 사용하여 이전 Grandoreiro 알고리즘을 통해 결과를 해독합니다. 아래는 복호화 루틴의 Python 구현입니다.
마지막으로 256비트 AES CBC 복호화 및 패딩 해제의 마지막 라운드를 거쳐 일반 텍스트 문자열을 검색합니다. AES 키와 개시 벡터(IV)도 모두 암호화된 문자열로 저장되며 위와 동일한 알고리즘을 사용하여 복호화해야 하지만 AES 복호화는 생략합니다. 아래 그래프는 전체 복호화 과정에 대한 개요를 보여줍니다.
그림 10: Grandoreiro 로더 문자열 복호화
피해자가 샌드박스가 적용된 환경에 속하지 않는지 확인하기 위해 Grandoreiro 로더는 다음 정보를 수집하고 하드코딩된 값 목록(부록 참조)과 비교하여 확인합니다.
이 확인 단계는 특정 국가의 피해자를 거부하는 데에도 사용됩니다. 한 샘플은 다음의 공개 IP 감염에 대해 실행을 계속하지 않았습니다.
또한 이 샘플은 바이러스 백신이 없는 미국에 기반을 둔 Windows 7 시스템의 감염도 방지했습니다.
다음 실행 단계에서는 C2 패널에 표시할 피해자의 기본 프로필을 구축하려고 시도합니다. 이 멀웨어는 피해 컴퓨터에서 다음 정보를 열거합니다.
Grandoreiro는 "*~+" 문자열을 사용하여 결과를 연결하고 암호화된 페이로드 요청의 일부로 C2 서버로 보냅니다.
Grandoreiro 로더의 C2 서버는 위에서 설명한 것과 동일한 알고리즘을 통해 암호를 해독할 수 있습니다. 이렇게 생성된 도메인 이름은 DNS 기반 차단을 우회하기 위해 https://dns.google/resolve?name=<C2 server> URL을 통한 DNS over HTTPS(DoH) 방식으로 조회됩니다. C2 IP 주소를 수신한 후 멀웨어는 IP의 처음 4자리를 가져와서 4개의 서로 다른 숫자 대 숫자 매핑을 실행하여 4자리 포트 번호를 생성합니다.
그런 다음 위의 피해자 프로파일링 문자열을 포르투갈어 대문자 메시지 "CLIENT_SOLICITA_DDS_MDL"("클라이언트가 모듈 데이터를 요청합니다"로 번역됨)과 함께 연결합니다. 문자열의 예는 다음과 같습니다.
문자열은 암호화되어 최종 Grandoreiro 페이로드를 요청하는 C2 서버에 HTTP GET 요청을 통해 URL 경로로 전송됩니다.
성공하면 C2 서버는 암호화된 다른 메시지가 포함된 HTTP 200 상태 코드로 응답합니다. 여기에는 다음 정보가 포함됩니다.
예시:
다운로드를 위해 Grandoreiro는 페이로드 URL에 또 다른 HTTP GET 요청을 발행합니다. 다운로드한 파일은 "C:\ProgramData\" 아래의 지정된 디렉토리 이름에 저장됩니다. 그런 다음 키 "7684223510"을 사용하여 RC4 기반 알고리즘을 통해 파일의 암호를 해독합니다. 마지막으로 "ZipForge" Delphi 라이브러리를 사용하여 압축을 풀고 원래 다운로드한 파일을 삭제합니다.
아카이브에는 .EXE(Grandoreiro 뱅킹 트로이 목마)와 .CFG(구성 파일)의 두 가지 파일이 포함될 수 있습니다.
실행 전에 로더는 현재 프로세스의 토큰 그룹 멤버십을 열거하는 작업을 수행하며, 특히 SECURITY_NT_AUTHORITY SID가 있는지 확인합니다. 프로세스에 필요한 권한이 있는 경우 로더는 'runas' 동사와 함께 ShellExecuteW() 함수를 활용하여 상승된 권한으로 Grandoreiro 페이로드를 실행합니다. 반대로, 필요한 권한을 사용할 수 없는 경우 로더는 상승 없이 ShellExecuteW()를 통해 자체적으로 실행합니다.
감염의 모든 단계(페이로드 다운로드, 복호화 및 실행) 중에 Grandoreiro 로더는 상태 메시지를 C2 서버에 다시 보고합니다. 몇 가지 예는 다음과 같습니다.
마지막 페이로드는 Grandoreiro 뱅킹 트로이 목마입니다. 최신 버전은 주로 문자열 복호화 및 DGA 계산 알고리즘 내에서 주요 업데이트를 거쳤습니다. 또한 여기에는 수많은 글로벌 뱅킹 애플리케이션이 포함되어 있어 실행을 지원하고 공격자가 수십 개국에서 은행 사기를 수행할 수 있도록 지원합니다. 특수 Outlook 스프레더 모듈 및 광범위한 기능과 함께 알려진 가장 큰 뱅킹 트로이 목마 중 하나이며 분석이 여전히 진행 중입니다. 다음 섹션에서는 Grandoreiro의 가장 주목할만한 특징을 심층적으로 살펴보고 필수 특징과 기능을 강조합니다.
Grandoreiro는 Windows 레지스트리를 통해 지속성을 설정하는 것으로 시작합니다. 다음 명령을 실행하여 새 레지스트리 실행 키를 생성하고 사용자 로그인 시 악성 코드를 실행합니다.
키의 이름은 샘플마다 다를 수 있지만 다운로드한 페이로드의 원본 파일명과 관련이 있는 경우가 많습니다. Grandoreiro가 관리자 권한 프로세스에서 실행되지 않으면 '/runas' 동사가 생략됩니다.
Grandoreiro는 .CFG 파일 외에도 C:\Public\ 디렉토리에 .XML 파일을 생성합니다. 이는 로더의 문자열 암호화 루틴을 통해 암호화되며 Grandoreiro 실행 파일 이름, 감염 경로 및 날짜를 저장합니다.
Grandoreiro는.CFG 파일을 찾을 수 없는 경우, 활성화된 Grandoreiro 기능, 피해자의 국가 및 감염 날짜를 지정하는 기본값으로 새.CFG를 채웁니다. .CFG 파일은 아래에 자세히 설명된 Grandoreiro 문자열 암호화 알고리즘을 통해 암호화됩니다.
Grandoreiro 운영자는 대상 은행 애플리케이션 목록을 대폭 업그레이드하여 현재 전 세계 1,500개 이상의 은행을 대상으로 합니다. 최신 변종은 먼저 피해자가 표적 국가 목록에 있는지 확인하는 것부터 시작합니다. 또한 각 국가가 더 큰 지역에 매핑되며, Grandoreiro는 이를 사용하여 현재 활성 창에서 실행해야 하는 문자열 검색을 결정합니다. 즉, 예를 들어 피해자 국가가 벨기에로 식별되면 유럽 지역과 관련된 모든 표적 뱅킹 애플리케이션을 검색합니다. Grandoreiro는 내부적으로 국가를 유럽, 북미, 중미, 남미, 아프리카, 인도-태평양 및 글로벌 섬 범주에 매핑하며, 각 범주에는 애플리케이션을 검색할 수 있는 관련 Delphi 클래스가 있습니다. 또한 Grandoreiro에는 암호화폐 지갑을 식별하는 266개의 고유 문자열을 검색하는 클래스가 있으며, 이 클래스는 감염될 때마다 실행됩니다.
그림 11: 감지된 국가 지역을 기반으로 새 스레드를 시작하는 Grandoreiro
아래의 히트맵은 각 국가에 관련된 고유한 뱅킹 애플리케이션의 수를 강조하여 보여줍니다. 각 앱은 여러 문자열로 감지될 수 있습니다.
그림 12: 국가별 Grandoreiro 대상 뱅킹 애플리케이션(Datawrapper를 사용하여 생성되고 X-Force 팀의 연구에서 얻은 정보로 채워짐)
Grandoreiro는 전통적으로 도메인 생성 알고리즘(DGA)을 사용하여 현재 날짜를 기반으로 활성 C2 서버를 계산했습니다. Grandoreiro의 최신 버전에는 재작업된 알고리즘이 포함되어 있으며 DGA를 위한 여러 시드를 도입하여 한 단계 더 발전했습니다. 이러한 시드는 뱅킹 트로이 목마의 각 모드 또는 기능에 대해 서로 다른 도메인을 계산하는 데 사용되며, 이를 통해 서비스형 멀웨어 작업의 일부로 여러 운영자 간에 C2 작업을 분리할 수 있습니다. 각 Grandoreiro 샘플에는 구성 파일이 누락된 경우를 대비하여 기본 기본 시드와 기능별 시드 목록이 있을 수 있습니다. 분석된 샘플 X-Force에는 14개의 서로 다른 시드가 포함되어 있어 매일 14개의 C2 도메인이 생성될 수 있습니다. 알고리즘을 설명하기 위해 2024년 4월 17일의 도메인을 계산해 보겠습니다. 다음 차트는 알고리즘에 대한 시각화와 함께 아래 설명을 제공합니다.
그림 13: DGA 시각화
Grandoreiro는 도메인 apex를 시작으로 연중 매일 하나의 도메인이 매핑되어 있습니다. 이러한 매핑에는 기본 C2용 매핑과 모든 기능별 C2용 매핑이 있습니다. 그러나 732개의 apex 도메인 중 고유한 도메인은 337개에 불과합니다. 지정된 날짜의 기본 정점은 dnsfor[.]me이고 보조 정점은 neat-url[.]com입니다.
다음 부분을 위해 Grandoreiro는 시드 "xretsmzrb"(메인 시드)를 형식이 지정된 현재 월 2자리와 연결하여 각 숫자를 하드코딩된 세 개의 문자로 대체합니다. 숫자 "0"과 "4"는 각각 "oit" 및 "zia'로 대체되어 전체 문자열 "xretsmzrboitzia"가 생성됩니다.
마지막으로, Grandoreiro는 매월 요일마다 사용자 정의 문자 대 문자 교체 매핑을 제공합니다. 17일에는 26개의 문자 대체를 모두 반복적으로 실행한 후의 최종 하위 도메인 문자열은 "wondbbhonandhnd"입니다.
모든 하드코딩 시드의 남은 도메인을 계산한 후, 2024년 4월 17일 기준 C2 도메인 목록은 다음과 같습니다.
X-Force는 당일 최소 4개의 도메인이 브라질 기반 IP로 확인되었음을 확인할 수 있었습니다.
C2 서버의 포트는 Grandoreiro 로더와 마찬가지로 사용자 지정 숫자 대 숫자 매핑을 통해 IP 주소의 처음 4자리 숫자로 계산됩니다. 사전 계산된 모든 Grandoreiro 도메인의 전체 목록은 부록을 참조하세요. Grandoreiro는 시드를 자주 교체합니다. 최초 감염 후 몇 주 후 X-Force는 주 시드 C2 서버만 활성 상태를 유지하는 것을 관찰했습니다.
X-Force DNS 원격 측정 연구에 따르면 5월 초 현재 감염은 주로 라틴 아메리카에서 발생합니다.
그림 14: 5월 초의 감염 지리적 위치
계산된 DGA를 확인하려고 시도한 후 Grandoreiro는 Grandoreiro 로더와 마찬가지로 열거 데이터와 연결되고 암호화된 여러 등록 메시지 중 하나를 보냅니다. 권한, 설치된 AV 및 활성 C2 도메인에 따라 다음 메시지가 전송될 수 있습니다.
Grandoreiro는 다음을 포함하여 다양한 명령을 지원합니다.
또한 이 멀웨어는 하드코딩된 Banco Banorte URL을 여는 기능도 지원합니다.
또한 브라우저에서 JavaScript 명령을 실행하여 HTML 버튼 클릭을 시뮬레이션할 수 있습니다.
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
다양한 명령과 이름 지정으로 인해 Grandoreiro 코드베이스에는 새로 추가된 명령과 더 이상 활발히 사용되지 않는 레거시 기능이 포함되어 있는 것으로 보입니다. 이 뱅킹 트로이 목마는 많은 리팩토링 없이 새로운 기능을 추가하기 위해 빈번한 개발 주기를 거치며 코드베이스의 전체 규모를 늘리고 있습니다.
Grandoreiro의 가장 흥미로운 능력 중 하나는 Outlook에서 데이터를 수집하고 피해자의 계정을 사용하여 스팸 이메일을 발송하여 확산하는 능력입니다. Grandoreiro에는 이메일 주소를 수집하고 유출하기 위해 최소 3가지 메커니즘이 구현되어 있으며, 각 메커니즘은 서로 다른 DGA 시드를 사용합니다. 로컬 Outlook 클라이언트를 스팸에 사용함으로써 Grandoreiro는 이메일을 통해 감염된 피해자의 받은 편지함을 통해 확산될 수 있으며, 이는 Grandoreiro에서 관찰되는 대량의 스팸에 기여할 가능성이 높습니다.
Outlook 수집 모드의 경우 Grandoreiro는 데이터를 유출하는 데 사용되는 C2를 DGA 시드 7로 전환합니다. 로깅 및 상태 메시지는 기본 C2 서버로 계속 전송됩니다. 예를 들어, 수집 프로세스를 시작하기 전에 동일한 피해자 프로파일링 데이터와 "CLIENT_SOLICITA_DD_EMSOUT"(클라이언트가 EMSOUT 데이터 요청) 및 "COLHENDO"(수집) 문자열이 포함된 로그를 다시 보냅니다.
로컬 Outlook 클라이언트와 상호 작용하기 위해 Grandoreiro는 Outlook 추가 기능을 개발하는 데 사용되는 소프트웨어인 Outlook 보안 관리자 도구를 사용합니다. 그 주된 이유는 Outlook Object Model Guard가 보호된 개체에 대한 액세스를 감지하면 보안 경고를 트리거하기 때문입니다. Outlook Security Manager를 사용하면 Grandoreiro가 수집 및 스팸 동작 중에 이러한 경고를 비활성화할 수 있습니다. 시스템 아키텍처에 따라 이 도구를 사용하려면 "secman.dll" 또는 "secman64.dll" DLL이 필요합니다. 그런 다음 MAPI를 사용하여 Outlook과 상호 작용합니다.
멀웨어는 루트 사서함 폴더를 찾은 다음 이메일 항목을 재귀적으로 반복합니다. 각 이메일에 대해 "SenderEmailAddress" 속성을 확인하고 이에 대해 차단 목록을 실행하여 원치 않는 이메일 주소를 필터링하여 수집합니다.
위의 문자열이 포함되지 않은 이메일 주소는 텍스트 파일로 집계되어 ZIP으로 압축된 후 추출됩니다.
위의 수확 프로세스 외에도 Grandoreiro는 Namespace.addStore() 함수를 통해 Outlook에 PST 파일을 먼저 추가하는 기능도 지원합니다. 지원되는 또 다른 수집 메커니즘은 피해자의 파일 시스템을 재귀적으로 살펴보고 파일에서 이메일 주소를 검색합니다. 다음 확장자를 가진 파일이 열리고 스캔됩니다.
"*.txt", "*.csv", "*.html", "*.xml", "*.dat", "*.db", "*.sqlite", "*.xlsx", "*.xls", "*.xlsm", "*.dbf", "*.doc", "*.docx", "*.docm"
불필요한 스캔을 방지하기 위해 Grandoreiro는 공통 시스템 디렉토리를 제외하고 스캔하지 말아야 할 경로의 또 다른 차단 목록을 유지합니다.
Grandoreiro는 스팸 이메일을 발송하기 위해 C2 서버에서 수신한 피싱 템플릿을 사용합니다. 그런 다음 템플릿을 살펴보고 다음과 같은 자리 표시자 필드를 채웁니다.
Grandoreiro는 이메일을 보내기 직전에 스레드를 시작하여 나타나는 대화 상자를 감지하고 특정 TAB 및 SPACEBAR 키를 눌러 대화 상자를 클릭합니다. 이메일을 발송한 후 악성코드는 피해자의 사서함에서 보낸 메시지를 삭제하여 자신의 흔적을 조심스럽게 숨깁니다. 또한 많은 수집 및 스팸 행위의 경우 Grandoreiro는 감염된 시스템의 마지막 입력이 최소 5분 전(또는 경우에 따라 더 오래 전)인지 확인합니다. 개발자는 피해자가 의심스러운 행동을 눈치채지 못하도록 하고 싶었을 것입니다.
스팸을 보내는 동안 Grandoreiro는 다음과 같은 상태 메시지를 보고합니다.
Grandoreiro는 매우 큰 멀웨어이기 때문에 엄청난 양의 문자열이 필요하며, 암호화되지 않은 상태로 두면 매우 쉽게 탐지할 수 있습니다. Grandoreiro는 100개 이상의 기능별 문자열 로딩 함수에 10,000개 이상의 문자열이 분산되어 있습니다. 복호화 메커니즘은 로더의 문자열 복호화와 약간 다릅니다.
로더와 동일한 Grandoreiro 키를 사용하며, 사용자 지정 암호화와 키 "A"를 통해 암호를 해독합니다. 키를 얻으면 로더와 동일한 인코딩으로 암호화된 문자열을 맞춤 복호화한 후, ElAES Pascal 구현을 이용한 AES ECB 모드로 결과 바이트를 복호화합니다. AES 키는 이전에 해독된 Grandoreiro 키의 스크램블 버전입니다. 사용자 지정 디코딩을 한 번 더 거친 후, 문자열은 마침내 이전 Grandoreiro 알고리즘과 Grandoreiro 키를 통해 해독됩니다.
그림 15: Grandoreiro 뱅킹 트로이 목마 문자열 복호화
X-Force는 최근 공식 정부 기관을 사칭하여 Grandoreiro 뱅킹 트로이 목마를 전달하는 여러 피싱 캠페인을 관찰했습니다. Grandoreiro 유통업체는 일반적으로 라틴 아메리카의 사용자를 대상으로 합니다. 그러나 X-Force는 최근 Grandoreiro 운영자에 대한 법 집행 조치 이후 중남미, 아프리카, 유럽, 태평양 지역을 포함하여 라틴 아메리카 이외의 지역으로 악성 코드가 확산되고 있는 것을 관찰했습니다. X-Force가 분석한 Grandoreiro 뱅킹 트로이 목마 샘플은 문자열 복호화 및 DGA 계산 알고리즘 내에서 주요 업데이트를 거쳤습니다. 이 새로 분석된 샘플에는 이제 표적으로 삼을 수 있는 1,500개 이상의 글로벌 뱅킹 애플리케이션이 포함되어 있으며, 이를 통해 실행을 지원하고 공격자가 60여 개 국가에서 은행 사기를 수행할 수 있습니다. 여러 국가에서 뱅킹 애플리케이션이 크게 증가한 것과 더불어 멀웨어에 대한 업데이트는 Grandoreiro 배포자가 전 세계적으로 캠페인을 수행하고 멀웨어를 전달하려고 한다는 것을 나타냅니다.
이러한 캠페인의 영향을 받을 수 있는 조직은 다음 추천 사항을 검토할 것을 권장합니다.
