브라질에서 22,000건의 신용카드 정보를 수집한 PoS 멀웨어 조직

게시일: 2015-04-14 l 작성자: 트렌드마이크로 선임 위협 연구원


연구 보고서: FighterPOS: 신종 POS 멀웨어 캠페인에 대한 분석 (영문)

트렌드마이크로는 100곳이 넘는 브라질의 조직들에게 피해를 입힌 새로운 POS 멀웨어 패밀리를 탐지하였으며 이 신종 멀웨어 패밀리에 “FighterPOS”라는 이름을 붙였습니다. 이 이름은 이 멀웨어를 제작한 제작자가 사용한 도구인 BRFighter에서 따온 것입니다. 이 일인 조직은 22,000건의 신용카드 회원 정보를 훔치는데 성공하였습니다.

이 멀웨어의 제작자는 카딩(carding), 지불 사기 및 멀웨어 제작 경험이 풍부한 것으로 보이며 공범은 없고 독자적으로 활동하는 것으로 판단됩니다. FighterPOS는 현재 18비트코인(미화 5,250달러 상당)으로 저렴한 가격은 아닙니다. 하지만 제어판이 매우 정교하게 설계되었고 공격자들에게 유용한 다양한 기능들을 지원하고 있습니다.

이 블로그 게시글은 FighterPOS의 활동에 대해 간략하게 소개하며 자세한 기술적 내용은 FighterPOS: The Anatomy and Operation of a New POS Malware Campaign(FighterPOS: 신종 POS 멀웨어 캠페인에 대한 분석)이란 제목의 문서에서 제공하고 있습니다.

구매

언뜻 보기에는 광고에 특별히 이상한 점이 없었지만 우리의 눈길을 끈 것은 전문가 수준의 광고와 멀웨어 지원 기능이었습니다.

그림1. Advertisement selling FighterPOS 판매 광고

제어판과 멀웨어는 현재 18.3823비트코인 또는 미화 5,250달러 정도에 거래되고 있습니다. 다소 가격이 비싼 편이지만 비용 회수가 상대적으로 용이하다는 장점이 있습니다. 멀웨어 구매자는 신용카드 정보를 그대로 재판매할 수도 있고 이 정보를 향후에 활용할 수도 있습니다. 구매자가 추가 실행파일과 패널 인스턴스를 원할 경우 제작자는 미화 800달러를 추가로 요구합니다.

그림2. FighterPOS 제어판

cardexpertdev라는 사용자 이름을 사용하는 이 제작자는 광고에 실행파일이 FUD(탐지 방지)가 아니라는 점을 명시하였고 안티바이러스 검사프로그램의 탐지를 피하려면 크립팅 서비스를 사용해야 한다고 언급하고 있습니다. PoS 멀웨어를 제작할 때 사용되는 일반적인 방식으로 방어 보안 컨트롤을 피하기 위해선 크립팅 서비스가 필요합니다.

Cardexpertdev가 판매한 신용카드 사기 관련 제품은 FighterPOS만이 아니었습니다. 그는 신용카드 번호, EMV 칩 리코더 및 그 밖의 사기 활동 관련 제품과 도구들을 사이버범죄자들에게 판매하였습니다.

범죄피해 사례

C&C 서버에서 확보한 데이터를 살펴보면 FighterPOS가 대략 113개의 PoS 터미널을 감염시켰고 이는 브라질에서 발견된 감염 사례의 90% 이상을 차지하는 비율이었습니다. 미국, 멕시코, 이탈리아 및 영국을 포함한 다른 국가에서도 시스템 감염 사례가 확인되었습니다.

그림3. FighterPOS에 감염된 시스템 분포도

감염된 시스템들은 2월말에서 4월초까지 한달 동안 22,112개의 신용카드 번호를 FighterPOS 운영자에게 전송하였습니다. FighterPOS의 피해자 대다수가 브라질에서 가장 널리 사용되는 소프트웨어인 Linx MicroVix와 Linx POS 시스템을 사용하고 있었습니다.

FighterPOS의 기능

FighterPOS의 기능은 과거에 보았던 다른 PoS 멀웨어 패밀리의 기능과 유사합니다. 신용카드 트랙1, 트랙2, 그리고 CVV 코드를 수집할 수 있으며 멀웨어에는 PoS 멀웨어 패밀리에서 자주 볼 수 있는 RAM 스크래핑 기능도 포함되어 있습니다. 이 외에 keylogger 기능은 공격자가 감염된 터미널에서 이루어지는 모든 키 입력을 기록할 수 있도록 허용합니다. RAM 스크래핑 기능에 대한 코드는 NewPosThings에서 발견된 코드와 유사합니다.

우리의 주목을 끈 두 개의 멀웨어 샘플은 IE.exe (MD5 hash: 55fb03ce9b698d30d946018455ca2809, detected as TSPY_POSFIGHT.SM)와 IEx.exe (MD5 hash: 55fb03ce9b698d30d946018455ca2809)였으며 이들은 hxxp://ctclubedeluta.org/의 C&C 서버에 접속합니다.

이 두 샘플은 모두 Visual Basic 6로 작성되었습니다. Visual Basic 6이 구형 프로그램이긴 하지만 이 언어로 작성된 어플리케이션들은 패치가 완벽하게 적용된 시스템에서도 실행이 가능합니다. 왜 새로운 PoS 멀웨어 패밀리가 Visual Basic과 같은 구형 플랫폼에서 제작되는지를 궁금해할 사람도 있을 것입니다. 그 이유는 FighterPOS 코드가 완전히 새로운 코드가 아니기 때문인 것이라 생각합니다. vnLoader 멀웨어(봇넷용으로 개발됨)는 PoS 전용 기능을 추가하도록 변경되었지만 다음과 같은 봇넷 고유의 기능은 유지하고 있습니다:

  • 멀웨어 자동 업데이트
  • 파일 다운로드 및 실행
  • 신용카드 데이터 전송
  • 키로깅 데이터 전송
  • Layer 7 또는 layer 4 DDoS 공격

DDoS 기능은 이 POS 패밀리를 매우 유연하고 잠재 구매자들이 선호하는 도구로 업그레이드시켜 줍니다.

결론

FighterPOS는 완전한 기능을 갖춘 멀웨어이며 강력한 암호화 기술을 이용해 정교하게 개발되었습니다. 이는 C&C 인프라와 대화할 수 있는 다양한 방식을 지원합니다. 키로깅(keylogging) 기능은 DDoS 공격을 허용하고 피해자의 시스템에 대한 모든 제어권을 확보합니다. 현재 감염된 시스템에서 10건의 새로운 신용카드번호가 공격자에게 전송되고 있는 것으로 추정되고 있습니다.

우리는 이러한 공격을 지속적으로 평가하고 있으며 멀웨어 패밀리뿐 아니라 C&C 인프라에 대한 연구도 진행하고 있습니다. 발생 가능한 감염 사례를 찾기 위한 엔드포인트 모니터링 및 검사를 위해 Trend Micro Deep Discovery Inspector는 아래에 소개된 보안침해지표(indicators of compromise), C&C 서버 및 사이트들을 이용할 수 있습니다.

보안침해지표(indicators of compromise)

SHA1 MD5 Compile Time (UTC) Size (in bytes) DDI Detection
0aea8f97ecbd4b9dbdae
336f7310d35af8883bae
b0416d389b0b59776fe4c4ddeb407239 2/4/2015 21:29 618,496 TSPY_POSFIGHT.SM
30628221ab520b3e6d86
9bdeb619ef157103c227
e3db204be71efe8a41d949f2d3fdfa18 3/27/2015 23:01 618,496 TSPY_POSFIGHT.SM
4482823a86dca8613ea5
b7daeca23c950e6d9291
e29d9560b6fcc14290f411eed9f4ff4f 9/8/2014 17:37 143,360 HTTP Download Executable File
76e8b0f54cea080e9321
18cd203b459a479170a8
55fb03ce9b698d30d946018455ca2809 2/10/2015 17:55 618,496 TSPY_POSFIGHT.SM
a106bba216f71f468ae7
28c3f9e1db587500c30b
6cb50f7f2fe6f69ee8613d531e816089 11/24/2014 17:21 178,688 TSPY_POSFIGHT.B
c04b07467a962f34f893
932422ca29f2cfdc938b
e647b892e3af16db24110d0e61a394c8 3/4/2015 20:54 618,496 TSPY_POSFIGHT.SM
fe13b63feb1fee2d8ff2
6368e8e690dd9c19c70c
7b011dea4cc53c1099365e0b5dc23558 2/21/2015 13:37 618,496 TSPY_POSFIGHT.SM
00aec55105f241f49318
8993d1558d7e2aacaafc
af15827d802c01d1e972325277f87f0d 1/28/2015 12:06 614,400 TSPY_POSFIGHT.SM
28157df6c45cf2f6f40c
884ed7e06ab4f2b4d874
361b6fe6f602a771956e6a075d3c3b78 12/19/2014 0:53 581,632 TSPY_POSFIGHT.SM
4411c502f3348233022b
77bb4624ae81c72416af
b99cab211df20e6045564b857c594b71 2/4/2015 16:37 618,496 TSPY_POSFIGHT.SM

C&C 서버 및 사이트:

  • 69[dot]195[dot]77[dot]74
  • ctclubedeluta[dot]org
  • msr2006[dot]biz
  • sitefmonitor[dot]com

연구 보고서: FighterPOS: 신종 POS 멀웨어 캠페인에 대한 분석 (영문)
원문: One-Man PoS Malware Operation Captures 22,000 Credit Card Details in Brazil