betman 토토 loader 악성코드 분석 보고서

​

2020년 4월에 처음 등장한 betman 토토 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다.

betman 토토로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 betman 토토 로더는 명령 및 제어를 위해 EmerDNS(.betman 토토) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다.

betman 토토 악성코드는 탐지 회피 및 은폐에 중점을 두고 있으며 2020년 4월에 등장한 이후 계속적인 프로그램 업데이트가 이루어지고 있음이 확인되고 있어 앞으로도 큰 위협이 될 것임은 분명합니다.

따라서, betman 토토 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부파일 혹은 URL 클릭을 삼가야하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.

현재 알약에서는 해당 악성코드를 ‘betman 토토 loader’ 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.