[데이터넷] 뱅킹 트로이목마로 사용되어 온 ‘트릭봇(Trickbot)’이 랜섬웨어, 사이버 스파이 등으로 활동 반경을 넓혀가고 있는 것으로 분석된다. 트릭봇은 2016년부터 전 세계 100만대 컴퓨터를 감염시킨 악성 봇으로, 발견된 악성 봇 중 가장 오래된 것으로 알려진다.

이셋(ESET) 조사에 따르면 트릭봇은 뱅킹 트로이목마로 사용자 신원 탈취, 계좌 도용, 부정이체 등의 공격을 진행해왔으며, 최근에는 랜섬웨어, 사이버 스파이 등의 활동까지 추가되고 있다. 최근 발견된 트릭봇은 또 다른 대형 봇넷 이모텟(Emotet)에 의해 손상된 시스템에 드롭돼 자격증명을 훔치거나 랜섬웨어 등 더 많은 피해를 입히고 있다.

또한 웹 인젝션 공격으로 특정 웹사이트를 방문자를 자동 감염시키기도 했다. 주로 금융기관을 타깃으로 활동해 온 트릭봇은 올해 3월 급감했는데, 랜섬웨어에 집중하면서 기존 공격 방식을 대폭 수정한 것으로 보인다.

트릭봇은 감염된 기기를 이용해 조직의 네트워크에 침투해 정찰·측면이동을 수행하고, 류크(Ryuk) 랜섬웨어를 내려받게 한다. 은행 계좌에서 돈을 훔치는 한편, 류크 랜섬웨어를 이용해 몸값을 요구하기도 한다.

이셋은 트릭봇 운영자들이 새로운 멀웨어를 개발하고 있다는 것을 관찰했다. 앵커(Anchor) 프로젝트로 불리는 새로운 프로젝트는 크라임웨어가 아니라 스파이 활동을 위한 플랫폼이다. 또한 랜섬웨어와 같은 맬웨어를 배포하고 손상된 시스템에서 중요한 데이터를 훔치는 데 사용되는 로더 및 백도어 인 바자르(Bazar) 멀웨어의 개발에도 관여할 가능성이 높다고 설명했다.

트릭봇은 다양한 플러그인을 통해 여러 종류의 공격을 진행한다. 브라우저·이메일 클라이언트·애플리케이션 등에서 비밀번호를 수집하고, 네트워크 트래픽을 수정하거나 전파하는 기능도 있다.

장 이안 버틴(Jean-Ian Boutin) 이셋 연구원은 “트릭봇과 같은 파악하기 어려운 위협을 방해하는 것은 매우 어렵고 복잡하다. 다양한 폴백 메커니즘을 가지고 있으며 지하에있는 다른 고도로 활동적인 사이버 범죄자들과 연결돼 있기 때문”이라며 “이셋은 위협을 추적하고 행동이 장기적으로 확산되는 봇넷에 미칠 수있는 영향을 평가하고 대응할 것”이라고 말했다.

김선애 기자 다른기사 보기