Dridex, 웹브라우저 모니터링하고 은행 및 개인정보 탈취 악성코드
공격자는 Xero 기업으로 위장해 전세계적으로 피싱 이메일을 발송했다. Xero는 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사다.
발신자는 xero.com이 아닌 xeronet.org로 해당 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됐다.
이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행해 Y739Ayh.exe를 다운로드하며, 이는 Dridex 트로이목마의 변종으로 확인됐다.
Dridex는 크롬(Chrome), 인터넷 익스플로러(Internet Explorer)와 같은 웹브라우저를 모니터링하고 은행 및 개인정보를 탈취하는 악성코드다.
이 악성코드의 기능은 시스템 정보 수집, 사용자 정보 수집, 인터넷 설정 변경, 레지스트리 키 검색을 통한 설치된 소프트웨어 목록 수집 등이다.
특히 내장 윈도우 명령어(whoami.exe/all 등) 사용, API 간접 호출을 통한 탐지 우회, 정상 프로세스에 악성코드를 삽입하는 등의 특징을 지닌 매우 정교한 악성코드로 분석됐다.
KISA는 정상적으로 보이는 메일도 발신자가 의심스러울 경우 링크 클릭 및 파일 다운로드에 각별한 주의를 당부하고 또 Xero 외에도 SharePoint, Quickbook, Dropbox 등 유명 브랜드를 사칭하는 경우가 발견되어 이메일 확인 시 사용자의 주의가 필요하다고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지