IBM 보안팀은 온라인 뱅킹 보안에 심각한 위협이 되는 신종 멀웨어 공격을 발견했다고 최근 발표했다.

2023년 3월에 등장한 이 캠페인은 자바스크립트 웹 인젝션을 사용해 북미, 남미, 유럽, 일본에 걸쳐 있는 40개 은행의 5만명 이상의 사용자로부터 뱅킹 데이터를 훔쳤다.

이 정교한 사이버 공격은 2022년 12월부터 준비되어 왔으며, 공격자들은 이 기간 동안 악성 도메인을 전략적으로 구매했다. 준비 기간을 보면 공격자들이 얼마나 치밀한 계획과 은밀한 접근 방식을 사용했는지 알 수 있다.

공격자들은 피해자의 디바이스를 멀웨어로 감염시켜 공격을 시작하지만, 구체적인 방법은 아직 공개되지 않았다고 IBM 보고서는 밝혔다. 일단 감염된 피해자는 침해된 사이트나 악성 사이트를 방문하면 자신도 모르게 공격자의 서버에서 스크립트를 로드한다. 이 스크립트는 여러 은행에서 공통적으로 사용되는 특정 페이지 구조를 악용하도록 맞춤화되어 있다.

웹 페이지에 직접 스크립트를 삽입하는 기존 멀웨어와 달리 이 캠페인은 한 단계 더 나아간다. 외부에서 호스팅되는 스크립트를 가리키는 새로운 스크립트 태그를 삽입한다. 이 색다른 접근 방식은 정적 분석 검사에서 단순한 로더 스크립트를 악성으로 표시할 가능성이 낮아 동적 콘텐츠 전송을 위한 창을 제공하고 새로운 2단계 페이로드를 배포할 수 있는 가능성을 제공하기 때문에 은밀함을 높일 수 있다.

이 악성 스크립트는 탐지를 회피하기 위해 cdnjs[.]com 및 unpkg[.]com과 같이 정상적으로 보이는 도메인을 사용해 합법적인 자바스크립트 콘텐츠 전송 네트워크(CDN)를 활용한다. 이를 통해 보안솔루션의 탐지를 회피하게 된다.

명령 및 제어 서버의 지시에 따라 지속적으로 동작을 조정하고, 업데이트를 보내고 특정 응답을 수신해 감염된 디바이스에서 활동을 컨트롤한다. "mlink" 플래그를 사용하면 스크립트가 다양한 데이터 유출 작업을 수행할 수 있다.

IBM 측은 온라인 뱅킹 포털과 애플리케이션을 사용할 때 보안을 강화하는 것이 중요하다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★