Security

흩어졌다 뭉쳤다...모듈의 장점 극대화 하는 멀웨어, 제이에스실

JustAnotherEditor

6 min read
흩어졌다 뭉쳤다...모듈의 장점 극대화 하는 멀웨어, 제이에스실
Photo by Xavi Cabrera / Unsplash
💡
Editor's Pick
- 제이에스실, 지난 해 3월부터 계속 퍼지고 있어
- 주로 암호화폐 지갑 관련 정보 훔쳐내는 중
- 모듈 구성이라 탐지는 어려워지고 공격은 유연해지고

제이에스실(JSCEAL)이라는 악성 코드를 유포하는 캠페인이 발견됐다. 공격자들은 가짜 암호화폐 거래 앱 형태로 멀웨어를 퍼트리고 있다. 제이에스실은 일종의 데이터 수집 멀웨어로, 이 캠페인에서는 피해자의 로그인 크리덴셜 및 암호화폐 지갑 관련 데이터를 훔쳐내는 것으로 분석됐다. 보안 업체 체크포인트(CheckPoint)가 현재 이 캠페인을 추적 중에 있다.

공격의 순서

공격자들이 적극 활용하고 있는 건 페이스북 광고 플랫폼이다. “수천 개의 악성 광고를 통해 피해자들이 가짜 사이트로 접속하도록 합니다. 사이트에서는 특정 앱을 설치하라고 피해자들에게 권하는데, 이 역시 허위 앱입니다.” 여기서 ‘수천 개의 광고’라는 표현에 의아할 수 있다. 광고 수천 개를 페이스북에 띄우려면 돈을 많이 지불해야 하기 때문이다. “공격자들은 미리 수많은 계정들을 훔쳤습니다. 그리고 이 계정들을 활용해 가짜 거래 앱 광고도 하고 소문도 퍼트리는 중입니다.”

광고를 클릭했다면 피해자들은 여러 사이트를 우회 접속한 후 마지막에 어떤 한 페이지에 도달한다. 이 마지막 페이지들은 각종 정상 웹 서비스를 모방하고 있다. “이 페이지에는 자바스크립트 파일이 포함돼 있습니다. 이 파일은 로컬호스트의 30303 포트를 통해 서버와 연결을 시도합니다. 그 외에도 제이에스실 설치와 관련된 자바스크립트와 POST 요청을 시작하는 자바스크립트도 같이 있습니다. 피해자 시스템으로는 설치 프로그램 하나가 다운로드 됩니다.”

여기서부터 세 자바스크립트가 작동하기 시작한다. 하나는 다운로드 된 설치 프로그램을 작동시켜 여러 개의 DLL 파일을 피해자 시스템에 심는다.(이 DLL 파일들 하나하나가 제이에스실의 조각들이다. 뒤에 설명이 나온다.) 또 다른 하나는 30303 포트를 통해 서버와 연결한 후 가짜 HTTP 리스너를 발동시키고, 다른 하나는 POST 요청을 처리하기 시작한다. “세 자바스크립트가 서로에게 의존하고 있습니다. 그렇기 때문에 하나라도 작동하지 않으면 전체가 멈춥니다. 공격이 더 진행되지 않는다는 것이죠.” 체크포인트의 설명이다.

이런 모든 일들이 배경에서 이뤄진다. 피해자가 보고 있는 화면에는 웹뷰라는 프로그램이 실행되기 시작한다. “이를 통해 피해자를 정상 웹사이트로 안내합니다. 즉 피해자 입장에서는 뭔가 좀 느려지거나 버벅이긴 했지만 결국 자기가 원하는 웹사이트로 접속하는 데 성공하는 겁니다. 그러니 의심하기가 힘듭니다.” 

위에 언급된 DLL들은 각각 POST 요청을 처리하거나, 시스템 정보를 수집하거나, 시스템 핑거프린팅 작업을 실시하도록 설계돼 있다. “그 외에도 브라우저 쿠키 및 자동 완성 비밀번호, 텔레그램 계정 정보, 스크린샷 캡쳐, 키로깅 등을 훔칩니다. 그리고 그걸 가지고 중간자 공격을 수행하기도 하고 암호화폐 지갑에 손을 대 자금을 훔쳐내기도 합니다.”

모듈형 멀웨어

제이에스실이 퍼져간다는 건 보안 솔루션들을 잘 피해간다는 뜻도 된다. 체크포인트도 이 점을 집중 분석했고, 그 결과 공격자들이 멀웨어를 모듈형으로 구성했다는 사실을 알아냈다고 밝혔다. “멀웨어를 기능별로 조각조각 냈습니다. 그리고 이 조각들을 각기 다른 파일로 만들었고요. 하나하나는 멀웨어 탐지기에 걸리지 않습니다. 모든 조각들을 통과시킨 뒤 피해자 시스템에서 하나로 결합시킴으로써 제이에스실이 완성됩니다.”

모듈형이기 때문에 탐지되지 않는다는 점도 있지만, 모듈형이기 때문에 새로운 기능을 부여하거나 새로운 전술을 구사하는기에도 용이하다. “공격자가 다양한 감염 프로세스로 피해자 컴퓨터에 접근할 수도 있게 해 주고, 공격 단계별로 상황에 맞는 페이로드를 그때 그때 적용할 수도 있게 해 줍니다. 공격자가 유연하게 움직일 수 있게 해 주는 멀웨어입니다.” 이 캠페인은 최소 2024년 3월부터 진행되고 있다. 배후 세력은 아직 정확히 알려지지 않았다. 체크포인트 외에도 여러 보안 업체가 주시하는 중이다.

Read more

한국 정부가 위험하다 해서 알아보니...아직까지 주인공은 해킹 조직

한국 정부가 위험하다 해서 알아보니...아직까지 주인공은 해킹 조직

💡Editor's Pick - 데프콘 현장에서 한 APT 조직의 내부 정보 유출 - 이 APT 조직은 북한이나 중국과 관련 있을 가능성 높음 - 한국 국방방첩사령부와 대검찰청을 턴 APT 조직 화이트햇 해커들을 위한 올림픽이라고 불리는 ‘데프콘(DEF CON)’에 데이터 폭탄이 떨어졌다. 보안 잡지 프랙(Phrack)을 통해 두 명의

By JustAnotherEditor
나온 지 얼마나 됐다고... GPT-5 탈옥 벌써 성공

나온 지 얼마나 됐다고... GPT-5 탈옥 벌써 성공

💡Editor's Pick - GPT-5 탈옥에 성공한 보안 업체 - 이야기 빙빙 돌려 설득 거듭하면 위험한 답변 내놓아 - 인공지능 탈옥법은 다양하게 개발되는 중 오픈AI(OpenAI)가 최근 발표한 GPT-5를 겨냥한 탈옥 공격 기법이 벌써 발견됐다. 발견자는 생성형 인공지능 보안 플랫폼인 뉴럴트러스트(NeuralTrust)의 연구원들로, 이미 널리 알려진 에코챔버(

By JustAnotherEditor
김현우·이원기 티오리 연구원, 취약점 시상 'Pwnie 어워드' 한국 최초 수상

김현우·이원기 티오리 연구원, 취약점 시상 'Pwnie 어워드' 한국 최초 수상

💡Editor Pick - CVE‑2024‑50264 취약점 연구로 한국 최초 수상 영예 안아 - "포니 어워드 수상, 전세계 해커들에게 인정받아 큰 보상 받은 느낌" 김현우, 이원기 티오리 연구원이 현지시각 9일 오전 10시경 라스베가스서 열린 최대 해킹 콘퍼런스 데프콘(DEF CON)내 취약점 시상식인 '포니 어워드(Pwnie Awards)

By CheifEditor
정상 프로젝트 위장, 깃허브 저장소 통해 악성코드 유포

정상 프로젝트 위장, 깃허브 저장소 통해 악성코드 유포

💡Editor Pick - 게임 핵, 소프트웨어 크랙, 자동화 도구 검색시 깃허브 저장소 상단 노출 - 정상 프로젝트 위장 제작...감염된 PC 스크린샷, 시스템 정보 등 탈취 최근 깃허브(Github) 저장소를 통해 스마트로더(SmartLoader) 악성코드 유포가 포착됐다. 개발자와 이용자들의 주의가 요구된다. 해당 저장소들은 정상 프로젝트로 위장해 정교하게 제작됐다. 주로 게임 핵,

By CheifEditor