이셋 “그랜도레이로, 코로나19 위장 사이트 통해 사기행위 벌여”
보안 SW 비활성화…바이너리 패킹으로 탐지 가능성 낮춰
보안 SW 비활성화…바이너리 패킹으로 탐지 가능성 낮춰
[데이터넷] 매우 빠르게 보안 탐지 우회 기술을 업데이트하는 트로이목마가 등장해 사용자들의 각별한 주의가 요구된다. 유럽 보안 기업 이셋(ESET)에 따르면 남미 지역에서 유행하고 있는 ‘그랜도레이로(Grandoreiro)’는 보안 탐지와 에뮬레이션 회피 기술을 갖고 있으며, 뱅킹 보호 소프트웨어를 감지하거나 비활성화시킨다. 또한 바이너리 패딩 기술을 이용해 탐지를 어렵게 만들며, 빠르게 업데이트 버전을 배포해 탐지 기법보다 앞서 공격을 진행한다.
이 트로이목마는 스팸메일을 통해 유포됐으며, 최근에는 코로나19 위장 사이트를 이용해 각종 사기 행위를 벌인다. 이 트로이목마에 감염되면 윈도우 조작, 자체 업데이트, 키 입력 캡처, 마우스 및 키보드 동작 시뮬레이션, 브라우저를 특정 URL로 연결, 컴퓨터 로그아웃 및 재시작, 웹 사이트에 액세스 차단 등의 백도어 기능이 활성화될 수 있다. 컴퓨터에 대한 다양한 정보를 수집하며 일부 버전에서는 아웃룩 브라우저에 저장된 데이터 뿐만 아니라 크롬 자격증명도 훔친다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
