Retefe 트로이목마 소개

Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다.

이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다.

다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으로 허위인증서 설치과정에서 나타나는 확인창에서 "OK"를 클릭하는 ConfirmCert 그리고 허위인증서를 파이어폭스 브라우저에 추가하는 AddCertFF가 있다. 이번에 새로 추가된 InstallTP 스크립트는 Task Scheduler Wrapper, 토르(Tor) 클라이언트, Proxifier를 다운받아 설치한다.

우선 Task Scheduler Managed Wrapper는 Codeplex를 통해 다운로드되며 "New-Object Microsoft.Win32.TaskScheduler.TaskService"라는 오브젝트를 사용할 수 있도록 하는데 이는 맬웨어의 작동을 지속시키는 역할을 한다. 작업관리자에  "AdobeFlashPlayerUpdate" 및  "GoogleUpdate Task" 작업이 추가되어 30분마다 실행되며 토르와 Proxifier도 실행한다. 사용자가 이를 중지시킨다 해도 30분 내에 다시 시작된다.

토르 클라이언트는 악성코드가 .onion 도메인에 직접 연결할 수 있도록 하며 이를 통해 AutoConfigURL에 포함된 .onion 도메인에 직접 연결이 가능하다. 토르 클라이언트는 콘솔 어플리케이션으로 본래 정상적으로 실행되면 사용자가 창을 볼 수 있다. 하지만 Retefe에 감염된 기기에서는 창이 숨겨지는데 이는 nCmdShow 값이 SW_HIDE로 설정된 상태에서 ShowWindow가 요청되기 때문이다.

Proxifier는 프록시서버 경유를 지원하지 않는 네트워크 어플리케이션이 SOCKS 또는 HTTPS 프록시 및 체인을 통해 작동할 수 있도록 한다. Proxifier는 9050번 포트를 통해 로컬호스트에서 구동하는 토르 프록시로 모든 트래픽을 경유시킨다. Proxifer는 프록시를 경유하여 접속될 대상과 직접 접속될 대상을 지정할 수 있다.아래 그림을 보면 api.ipify.org를 방문할 경우 직접접속에 해당되어 IP주소가 변경되지 않음을 볼 수 있는데 설정파일을 보면 공격자 측에서 Proxifier를 해킹하여 변조한 버전을 쓰고 있음을 알 수 있다.

프록시 설정의 경우 영국 IP주소를 가진 시스템에 대해서만 적용되며 이는 이전 Retefe 버전과 비슷하다. 만약 감염된 기기에서 예전에 접속했던 은행이나 새로 추가된 은행에 접속할 경우 해당 트래픽은 악성 프록시로 이전된다. 아래 그림에서 볼 수 있듯 해당 프록시는 토르 네트워크에 숨겨져 있다.

사용자가 표적 웹사이트를 방문하면 해당 사이트에 대한 인증서는 허위 인증서로 교체되며 공격자는 이를 통해 감염을 숨기고 사용자의 로그인 정보를 훔칠 수 있다. 아래 그림을 보면 본 사례에서 Retefe가 추가한 가짜 Smile 은행 웹사이트를 볼 수 있다. 이렇게 허위의 HTTPS 인증서를 통해 사용자를 안심시킨다는 점이 Retefe 트로이목마의 가장 큰 위험이라고 할 수 있다.

Retefe 트로이목마 SHA 해시값은 다음과 같다.

03E6A87CC90BD5A8B2EB2E4B6C3D8201B8DC7E7A89FF8A6AA05E9539146FD1AF

347701FAF633D1EDAAA630BA1D3652F13D6097C3855B91C14551390F4C56096F

3944686BEDEA78C498BFCF0431DE509EE118C0CC95DA07402B12E4C954F1A125

6308623E0CF994FC14F8F483A840E0E28428D510CDFC4F07992E40B3F2C77FF4

6B1869D8C1BB898BAC91220823AE80D770D9591DA60EE919FCA0A588D994DFA6

821EBC34F86BFF680E4AACEA40FDACECB3B45B3BE9D231EF9AC261FA2FDC7549

C6E0FC6B084443A0B5D18778F93EE9EBFB7758435BAEEF284F2835552DD641EB

CE549E89D46BD5657809A129C9C02BAEE934F91888A18928F387942F156429EC

CE55C12B504DFF52867F59FAD40C3EED4A4D0CA10A33B3FF3E3BE1039F86B67E

D1C0661E19AB3EDEA209EEFEAC38904FC0D5264F065EB9E769598A55DB938908

Jaromír Hořejší, The evolution of the Retefe banking Trojan, 7. 18. 2016.

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan

번역⋅요약: madfox

참고링크 

<유료안티바이러스 제품비교>