IBM X-Force, 네커스(Necurs) 봇넷같은 스팸 발송을 유포하는 TRICKBOT 악성코드 연구 결과 발표
주요내용
IBM X-Force 소속 연구원에 따르면, 미국 금융 기관 고객 대상으로 네커스(Necurs) 봇넷 기반의 스팸 발송 및 JavaScript 인젝션 기법이 포함되어 확산되고 있다고 발표 - 이번 공격에 사용된 네커스(Necurs) 봇넷 스팸 발송 방법은 악성 이메일 내 ZIP으로 압축된 난독화된 JavaScript 코드로 이루어진 윈도우 스크립트 파일이 첨부되어 있음 - 또한 수집된 연구결과에 따르면 악성 이메일 내 ZIP 파일이 아닌 악성 매크로가 포함된 문서를 첨부파일로 활용하는 것으로 조사
이메일 수신자가 첨부된 파일을 다운로드하고 클릭 시 TRICKBOT 로더가 실행되어 감염되며 아래와 같이 사용자 PC에서 악성코드가 동작
< TRICKBOT 악성코드 작동 방식 >
또한 미국 금융 기관에 홈페이지 이용자 대상 HTML이나 JavaScript 인젝션 이용 리디렉션을 통한 미국 금융기관 정상 사이트로 위장한 악성 사이트로 강제 이동시켜 TRICKBOT 악성코드 감염을 유도함 - 악성사이트에 접속하여 감염된 사용자의 로그인 정보, PII, 중요한 인증 코드 탈취 가능
IBM X-Force 소속 연구원은 TRICKBOT 악성코드는 미국을 넘어서 스페인 포함 6개 국가 대상으로 확산되고 있다고 발표함
시사점
국내 피해 예방을 위해 개인/기업에서는 OS 및 소프트웨어 최신 버전으로 업데이트 유지 및 주기적인 백신 점검, 출처가 불분명한 이메일을 열지않는 등 사용자 주의 필요
