바이러스는 이제 매우 흔해져서 각 종류의 ‘패밀리’가 만들어지고 있습니다. 데이터를 훔치는 데 사용되는 바이러스 제품군인 Qbot도 이에 해당합니다. 그렇다면 큐봇은 어디에서 왔으며 얼마나 위험하며 어떻게 피할 수 있을까요?
Qbot의 기원
바이러스가 흔히 그렇듯이 Qbot(Qakbot, Quakbot 또는 Pinkslipbot이라고도 함)은 야생에서 발견되었을 때만 발견되었습니다. 사이버 보안 용어에서 “야생에서”란 사용자의 허가 없이 바이러스가 표적 디바이스 사이에 퍼지는 시나리오를 의미합니다. 큐봇은 적어도 2007년부터 활동한 것으로 추정되며, 오늘날 널리 퍼져 있는 많은 변종보다 상당히 오래된 형태의 바이러스입니다.
2000년대 바이러스의 많은 형태는 현대 기술에 대응하기에 충분히 효과적이지 않기 때문에 더 이상 사용되지 않습니다. 하지만 Qbot은 여기서 눈에 띕니다. 이 글을 쓰는 시점에 Qbot은 최소 16년 동안 운영되어 왔으며, 이는 바이러스 프로그램으로서는 인상적인 수명이기도 합니다.
2007년부터 Qbot은 야생에서 반복적으로 사용되는 것이 관찰되었지만, 이 또한 정체 기간으로 인해 중단되었습니다. 어쨌든 여전히 사이버 범죄자들 사이에서 인기 있는 옵션입니다.
Qbot은 수년에 걸쳐 진화해 왔으며, 수많은 해커들이 다양한 이유로 사용해 왔습니다. Qbot은 무해해 보이는 앱에 숨어 있는 프로그램인 트로이 목마로 시작되었습니다. 트로이 목마는 데이터 도용, 원격 액세스 등 다양한 악의적인 목적으로 사용될 수 있습니다. 특히 Qbot은 은행 자격 증명을 노립니다. 이러한 이유로 뱅킹 트로이 목마로 간주됩니다.
하지만 여전히 그럴까요? 오늘날 큐봇은 어떻게 작동하나요?
Qbot은 어떻게 작동하나요?
오늘날 발견되는 Qbot은 다양한 형태로 나타나지만, 가장 주목할 만한 것은 인포스틸러 트로이 목마입니다. 이름에서 알 수 있듯이 인포스틸러 트로이 목마는 결제 정보, 로그인 자격 증명 및 연락처 세부 정보와 같은 중요한 데이터를 훔치도록 설계되었습니다. 주로 비밀번호를 훔치는 데 사용되는 주요 유형의 Qbot 바이러스입니다.
키 로깅, 프로세스 후킹, 심지어 백도어를 통한 시스템 공격까지 수행하는 Qbot 변종도 관찰되었습니다.
2000년대 이후 Qbot은 백도어 기능을 갖도록 수정되어 훨씬 더 큰 위협이 되고 있습니다. 백도어는 본질적으로 시스템이나 네트워크에 침투하는 비공식적인 방법입니다. 해커는 백도어를 사용하면 더 쉽게 침입할 수 있기 때문에 공격을 수행하기 위해 백도어를 사용하는 경우가 많습니다. “Backdoor.Qbot”은 이 변종 Qbot의 이름입니다.
처음에 Qbot은 트로이 목마의 또 다른 형태인 Emotet 바이러스를 통해 확산되었습니다. 요즘에는 일반적으로 첨부 파일을 통해 악성 이메일 캠페인을 통해 확산됩니다. 이러한 캠페인은 표적 사용자 중 일부의 상호작용을 유도하기 위해 수백 명 또는 수천 명의 수신자에게 대량의 스팸 메일을 전송하는 것을 포함합니다.
악성 이메일 첨부 파일 내에는 일반적으로 매크로가 포함된 XLS 드로퍼가 포함된 .zip 파일이 포함되어 있는 것으로 관찰되었습니다. 수신자가 악성 첨부 파일을 열면 악성 코드가 사용자 모르게 디바이스에 배포될 수 있습니다.
Qbot은 익스플로잇 키트를 통해서도 확산될 수 있습니다. 익스플로잇 킷은 사이버 범죄자가 바이러스를 배포하는 데 도움이 되는 도구입니다. 익스플로잇 킷은 디바이스 내의 보안 취약점을 강조한 다음 해당 취약점을 악용하여 무단 액세스를 얻을 수 있습니다.
하지만 문제는 비밀번호 탈취와 백도어에서 끝나지 않습니다. 큐봇 운영자는 초기 액세스 브로커로서도 큰 역할을 해왔습니다. 이들은 다른 악의적인 공격자에게 시스템 액세스 권한을 판매하는 사이버 범죄자입니다. 큐봇 공격자의 경우, 서비스형 랜섬웨어 조직인 REvil을 비롯한 일부 거대 그룹에 액세스 권한이 부여되었습니다. 실제로 다양한 랜섬웨어 계열사가 초기 시스템 액세스에 Qbot을 사용하는 것이 관찰되어 이 바이러스가 또 다른 우려스러운 목적을 가지고 있음을 알 수 있습니다.
Qbot은 많은 악성 캠페인에 등장했으며, 다양한 산업을 표적으로 삼는 데 사용됩니다. 의료 기관, 은행 웹사이트, 정부 기관, 제조 회사 등이 모두 Qbot의 표적이 되었습니다. 트렌드마이크로 2020년에 보고된 바에 따르면 큐봇의 표적 중 28.1%가 헬스케어 영역에 속합니다.
기타 여러 산업과 함께 다른 8개 산업도 Qbot의 목표 범위에 속합니다:
⭐ 제조.
⭐ 정부.
⭐ 보험.
⭐ 교육.
⭐ 기술.
⭐ 석유 및 가스.
⭐ 운송.
⭐ 소매.
TrendMicro는 또한 같은 보고서에서 태국, 중국, 미국이 가장 많이 탐지되었으며 기타 일반적인 탐지 위치에는 호주, 독일, 일본이 포함되므로 Qbot은 분명히 글로벌 위협이라고 밝혔습니다.
Qbot이 오랜 기간 동안 존재해 온 이유는 공격 및 회피 전술이 최신 사이버 보안 조치를 따라잡기 위해 지속적으로 진화해 왔기 때문입니다. 또한 큐봇의 다양성으로 인해 전 세계 사람들이 이 프로그램을 사용하여 다양한 방식으로 표적이 될 수 있기 때문에 전 세계 사람들에게 큰 위험이 될 수 있습니다.
Qbot 바이러스를 피하는 방법
바이러스를 100퍼센트 피하는 것은 사실상 불가능합니다. 아무리 좋은 바이러스 백신 프로그램이라도 공격으로부터 사용자를 무한정 보호할 수는 없습니다. 하지만 디바이스에 바이러스 백신 소프트웨어를 설치하는 것은 바이러스로부터 사용자를 안전하게 보호하는 데 중요한 역할을 합니다. 이는 사이버 보안의 첫 번째 단계로 간주되어야 합니다. 다음 단계는 무엇일까요?
큐봇은 일반적으로 스팸 캠페인을 통해 확산되므로 악성 메일의 지표를 숙지하는 것이 중요합니다.
이메일의 내용부터 악성 메일로 의심할 수 있는 여러 가지 위험 신호가 있습니다. 새 주소에서 링크나 첨부 파일이 포함된 이메일을 보낸 경우, 신뢰할 수 있는 이메일인지 확인할 때까지는 열어보지 않는 것이 현명합니다. 클릭해도 안전한지 확인할 수 있는 다양한 링크 검사 사이트를 통해 URL의 적법성을 확인할 수 있습니다.
첨부 파일도 링크만큼이나 악성코드 감염에 위험할 수 있으므로 이메일을 받을 때 주의해야 합니다.
.pdf, .exe, .doc, .xls, .scr 등 바이러스를 유포하는 데 사용되는 특정 첨부 파일 확장자가 있습니다. 이러한 파일 확장자가 바이러스 감염에 사용되는 유일한 파일 확장자는 아니지만 가장 일반적인 유형에 속하므로 이메일에 첨부된 파일을 받을 때 이러한 확장자를 주의 깊게 살펴보세요.
새로운 발신자로부터 긴급한 내용이 포함된 이메일을 받은 적이 있다면 이 또한 경계해야 합니다. 사이버 범죄자들은 피해자가 순응하도록 유도하기 위해 설득력 있는 표현을 사용하는 경향이 있습니다.
예를 들어, 반복적인 로그인 시도로 인해 소셜 미디어 계정 중 하나가 잠겼다는 내용의 이메일을 받을 수 있습니다. 이 이메일에는 계정에 로그인하여 잠금을 해제하기 위해 클릭해야 하는 링크가 포함되어 있을 수 있지만, 실제로는 사용자가 입력한 데이터(이 경우 로그인 자격 증명)를 훔치도록 설계된 악성 사이트입니다. 따라서 유난히 설득력 있는 이메일을 받는 경우, 실제 가능성이 매우 높으므로 규정 준수를 위해 조종당하고 있는 것은 아닌지 생각해 보세요.
큐봇은 바이러스의 주요 형태입니다
바이러스 프로그램의 다양성이 증가하면 거의 항상 더 큰 위협이 되며, 시간이 지남에 따라 큐봇은 다양화되어 위험한 세력으로 자리 잡았습니다. 이러한 형태의 바이러스는 시간이 지남에 따라 계속 진화할 수 있으며 다음에 어떤 기능에 적응할지 알 수 없습니다.