사이버 보안 위협: Astaroth 트로이안
해커들이 McAfee의 사이버 보안 연구에 따르면, 서버가 중단될 때마다 GitHub 리포지토리를 활용하는 뱅킹 트로이안을 배포하고 있습니다. Astaroth라는 이름의 이 트로이안 바이러스는 피해자에게 Windows (.lnk) 파일을 다운로드하도록 유도하는 피싱 이메일을 통해 퍼집니다.
Astaroth의 작동 방식
Astaroth는 피해자의 장치에서 백그라운드로 실행되며, 키로깅을 사용해 은행 및 암호화폐 자격 증명을 탈취하고, Ngrok 리버스 프록시를 통해 이러한 자격 증명을 전송합니다. Astaroth의 독특한 기능은 명령 및 제어 서버가 중단될 때마다 GitHub 리포지토리를 사용해 서버 구성을 업데이트한다는 점입니다.
McAfee의 위협 연구 및 대응 이사인 Abhishek Karnik는 “GitHub는 악성코드를 호스팅하는 데 사용되지 않고, 단지 봇 서버를 가리키는 구성을 호스팅하는 데 사용된다”고 말했습니다.
그는 Decrypt와의 인터뷰에서 악성코드 배포자들이 피해자를 업데이트된 서버로 유도하기 위해 GitHub를 자원으로 사용하고 있다고 설명했습니다. 이는 GitHub가 활용된 이전 사례와 차별화되는 점입니다.
전 세계적 영향
Astaroth의 궁극적인 목적은 피해자의 암호화폐를 훔치거나 은행 계좌에서 이체를 하기 위해 사용할 수 있는 자격 증명을 유출하는 것입니다. “얼마나 많은 돈이나 암호화폐를 훔쳤는지에 대한 데이터는 없지만, 특히 브라질에서 매우 널리 퍼져 있는 것으로 보인다”고 Karnik은 말했습니다.
Astaroth는 주로 멕시코, 우루과이, 아르헨티나, 파라과이, 칠레, 볼리비아, 페루, 에콰도르, 콜롬비아, 베네수엘라 및 파나마를 포함한 남미 지역을 주로 타겟으로 하고 있습니다. 포르투갈과 이탈리아를 타겟으로 할 수 있지만, 이 악성코드는 미국이나 다른 영어 사용 국가(예: 영국) 시스템에 업로드되지 않도록 작성되었습니다.
방어 조치
이 악성코드는 분석 소프트웨어가 작동 중임을 감지하면 호스트 시스템을 종료하며, 특정 은행 사이트를 방문하는 웹 브라우저를 감지하면 키로깅 기능을 실행하도록 설계되었습니다. 여기에는 다음과 같은 사이트가 포함됩니다:
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
또한 다음과 같은 암호화폐 관련 도메인을 타겟으로 하도록 작성되었습니다:
- etherscan.io
- binance.com
- bitcointrade.com.br
- metamask.io
- foxbit.com.br
- localbitcoins.com
이러한 위협에 직면하여 McAfee는 사용자가 알 수 없는 발신자의 첨부파일이나 링크를 열지 말고, 최신 안티바이러스 소프트웨어와 이중 인증을 사용할 것을 권장합니다.
