제우스 뱅킹 트로이 목마의 새로운 변종 ZeusVM이 JPG 이미지에 스테가노그래피로 발견됨

말웨어바이트의 수석 보안 연구원인 제롬 세구라는 “제우스 뱅킹 트로이 목마의 새로운 변종(ZeusVM)이 JPEG(합동 사진 전문가 그룹) 이미지 파일에서 발견되었습니다. 다른 메시지나 이미지에 이미지를 숨기는 행위를 스테가노그래피라고 합니다.”라고 말합니다.

• *

ZeusVM의 경우 코드는 JPEG 이미지에 스테가노그래피 방식으로 숨겨져 있습니다. 이 트로이 목마는
ZeusVm
이 구성 파일을 검색하고 악행을 저지르는 데 사용합니다.

• *

제롬 세구라는 “JPEG에는 말웨어 구성 파일이 포함되어 있으며, 이는 본질적으로 스크립트와 금융 기관의 목록입니다. 그러나 피해자가 직접 열 필요는 없습니다. JPEG 자체는 사용자에게 거의 보이지 않으며, 보안 소프트웨어 관점에서 탐지되지 않도록 하기 위한 은폐 기술입니다.”라고 추가 설명합니다.

• *

ZeusVm 트로이 목마는 공격자가 쉽게 추적되지 않는 중간자 공격을 허용합니다. 공격자는 웹 인젝트를 사용하여 로그인 페이지를 변경함으로써 민감한 정보를 얻을 수 있습니다. 세구라는 은행 관련 웹사이트를 방문하면 ZeusVM이 활성화될 수 있다고 말합니다.

• *

세구라는 ZeusVm 트로이 목마가 실행 가능하며, 다른 복제 바이러스처럼 컴퓨터 깊숙이 복사됩니다. ZeusVM은 네트워크를 찾으면 명령 및 서버와 쉽게 통신할 수 있으며, 컴퓨터가 재부팅될 때 자동으로 재활성화(자동 재시작)될 수 있습니다.

• *

이 말웨어는 여러 가지 방법으로 배포될 수 있지만, 주요 전파 경로는 피싱 이메일이나 웹 기반 공격을 통해 이루어집니다. 이 말웨어는 또한 말버타이징을 통해 퍼질 수 있으며, 이는 말웨어를 퍼뜨리는 광고를 호스팅하는 웹사이트를 포함합니다. 말버타이징은 이러한 말웨어를 퍼뜨리는 가장 좋은 방법입니다. 왜냐하면 웹사이트의 경우, 말웨어는 항상 온라인 상태인 준비된 호스트를 얻기 때문입니다. 말웨어가 광고에 주입되는 순간, 생성하는 클릭 수에 따라 바이럴하게 퍼질 수 있습니다. 그런 다음 말버타이징 광고는 해커/공격자가 윤리적인 방법(검색 엔진)이나 불법적인 방법(피싱 이메일/스팸 링크/스팸 댓글)을 통해 얻을 수 있는 인터넷 트래픽을 통해 말웨어를 퍼뜨릴 수 있습니다.

• *

세구라는 이 트로이 목마에 대한 추가 연구를 시작했으며, 원본 이미지와 스테가노그래피된 이미지의 차이를 보여주기 위해 블로그 게시물을 작성했습니다. 그는 정확히 동일하게 보이는 두 이미지를 보여주었지만, 비트맵 모드와 16진수 뷰어에서 이미지를 보는 결과를 보여주었을 때 두 이미지의 차이가 명확하게 보였습니다.

• *

*세구라는 게시물에서 식별을 더 어렵게 만들기 위해 추가된 데이터가 Base64, RC4로 암호화되어 있다고 썼습니다. 디코딩하려면 OllyDbg와 같은 디버거로 파일을 역전사하고 설명 루틴을 가져올 수 있습니다.