악명 높은 뱅킹 악성코드 ‘그란도레이로(Grandoreiro)’가 올해 초 국제 경찰 단속이 있었음에도 다시 등장했다. 이 강력한 악성코드는 현재 60개국 이상에서 대규모 피싱 캠페인을 통해 확산 중이며, 약 1,500개 은행의 고객 계정을 노리고 있어 한국 은행 이용자들도 각별히 주의해야 한다.

2024년 1월, 브라질과 스페인 당국, 인터폴, 사이버 보안 회사 이셋, 그리고 카이사 뱅크가 참여한 국제 공조 작전을 통해 그란도레이로의 활동을 저지하는 데 성공했다. 2017년부터 활동해온 이 악성코드는 주로 스페인어 사용 국가를 타깃으로 하여 약 1억 2천만 달러의 금융 피해를 발생시켰다. 이 단속으로 브라질 전역에서 5명이 체포되고 13건의 수색 및 압수 작업이 이루어졌다. 그러나 체포된 개인들의 역할에 대한 구체적인 정보는 공개되지 않았다.

이러한 노력에도 불구하고, 2024년 3월 IBM의 X-Force 팀은 그란도레이로가 대규모 작전으로 복귀했다고 밝혔다. 이 악성코드는 사이버 범죄자들에게 Malware-as-a-Service(MaaS) 모델로 서비스되었을 가능성이 높다. 이번 부활로 그란도레이로는 영어권 국가로까지 범위를 확대하고 있다.

최신 버전의 그란도레이로는 기술적으로 크게 개선되어 그 효과와 회피 능력이 향상되었다. IBM 엑스 포스 분석가들에 따르면, 이 악성코드는 다음과 같은 악성 기능을 장착했다.

△개선된 문자열 암호화: AES CBC와 맞춤형 디코더를 결합하여 탐지 및 분석을 더욱 어렵게 만든다.

△향상된 도메인 생성 알고리즘(DGA): 다수의 시드를 포함하여 명령 및 제어(C2) 통신을 분리, 작전 방해를 더욱 어렵게 만든다.

△마이크로소프트 아웃룩 클라이언트 타겟팅: 보안 알림을 비활성화하고 클라이언트를 활용하여 새로운 대상에게 피싱 이메일을 전송한다.

△향상된 지속성: 'HKEY_LOCAL_MACHINE' 및 'HKEY_CURRENT_USER' 레지스트리 Run 키를 생성하여 감염된 시스템에서 계속 활성 상태를 유지한다.

△확장된 명령 세트: 원격 제어, 파일 업로드/다운로드, 키로깅 및 JavaScript 명령을 통한 브라우저 조작 기능을 포함한다.

△상세한 피해자 프로파일링: 특정 기준에 따라 장치에서 실행 여부를 결정하여 더 정밀한 타겟팅이 가능하다.

이러한 업데이트는 그란도레이로 핵심 개발자들이 체포되지 않았을 뿐만 아니라 계속해서 업데이트를 해서 이 악성코드를 더 강력한 공격툴로 만들고 있다는 것을 알 수 있다.

그란도레이로의 부활은 정교한 피싱 캠페인이다. IBM X-Force는 피싱 메일이 다양하고 각기 다른 사이버 범죄자가 타겟팅하는 조직에 맞춰져 있다고 분석했다. 특히 이러한 캠페인은 멕시코, 아르헨티나, 남아프리카의 정부 기관을 사칭하였으며, 세무 행정 조직, 세무 서비스, 연방 전력 위원회 조직 등으로 위장했다.

피싱 이메일은 수신자의 모국어로 정교하게 작성되었으며, 공식 로고와 형식을 포함하고 있다. 이 이메일에는 청구서, 명세서 또는 세금 관련 문서를 보기 위해 링크를 클릭하라고 유도한다. 수신자가 링크를 클릭하면 PDF 이미지로 리디렉션되어 ZIP 파일을 다운로드하게 되며, 이 파일에는 용량이 큰(100 MB) 실행 파일인 그란도레이로 로더가 포함되어 있다. 국내 은행 이용자들도 각별한 주의가 요구된다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★