사이버 보안 연구원들이 은행 시장에서 완전히 새로운 트로이 목마를 발견했습니다. 트로이 목마는 정품 VMware 바이너리를 사용하여 보안 도구가 잘못된 활동을 허용하도록 속입니다. Cisco Talos는 연구원들이 최근 브라질의 새로운 맬웨어 캠페인을 조사했다고 말했습니다. 이 작업은 남미 은행 부문을 대상으로 하며 불법적인 금전적 이득을 위해 사용자의 개인 데이터를 악용합니다.
트로이 목마는 합법적인 프로세스로 보이며 멀웨어는 비활성 상태를 유지하기 위해 광범위한 정교한 기술을 사용하는 것으로 나타났습니다. 합법적인 프로세스로 가장하는 것 외에도 트로이 목마는 숨겨진 상태를 유지하기 위해 다양한 기술을 사용합니다.
더 읽어보기: 트로이 목마는 어떻게 감염되나요?
새로운 뱅킹 트로이목마는 포르투갈어로 작성된 스팸 메시지를 널리 퍼뜨리는 것으로 프로세스를 시작하여 사용자가 모국어로 작성된 이메일을 열도록 쉽게 유혹할 수 있다고 예측합니다. 범죄자들은 이러한 이메일을 사용하여 개인이 잘 알려진 브라질 결제 수단인 Boleto 인보이스를 열도록 유인합니다. 인보이스에는 URL이 포함된 악성 파일이 포함되어 있습니다. 이 파일을 클릭하면 goo.gl URL 단축기로 리디렉션됩니다. 그런 다음 사용자는 JAR 파일이 포함된 RAR 라이브러리로 리디렉션됩니다.
해당 JAR 파일을 더블 클릭하면 악성 코드를 실행하고 뱅킹 트로이 목마를 설치하는 자바 파일이 로드됩니다. Java 코드는 원격 서버와 시스템 사이에 링크를 설정하여 추가 파일을 다운로드합니다. 이 코드는 다운로드한 바이너리의 이름을 바꾸고 VMware 디지털 서명을 사용하여 VMware(서명됨)의 vm.png에서 실제 바이너리를 실행합니다.
실행된 바이너리의 종속성 중 하나는 explorer.exe 또는 notepad.exe에 prs.png 코드를 삽입하고 실행하는 데 사용되는 악성 파일인 vmwarebase.dll입니다. 이것은 많은 기능을 포함하는 뱅킹 트로이 목마의 주요 모듈을 로드합니다. 이 모듈은 자동 시작 레지스트리 키를 생성하고 사용자가 브라질의 대상 금융 기관이 포함된 양식의 목록을 사용하여 브라질의 금융 기관과 상호 작용하는지 확인할 수 있습니다.
주 모듈이 수행하는 또 다른 작업은 최신 바이너리 gps.png(이전에는 .drv 확장자로 이름이 변경됨)를 rundll32.exe로 실행하는 것입니다. 이 바이너리는 위협을 제거하기 어렵게 만드는 보안 도구로 가득 차 있습니다.