Contents
see List이번 영상은 Elastic Security Labs가 공개한 은행 트로이목마 TCLBanker 사례를 짧게 정리한 보안 콘텐츠입니다. 이 악성코드는 단순히 은행 로그인 정보를 훔치는 수준을 넘어, 감염된 사용자의 메신저와 메일 계정을 이용해 스스로 퍼지는 점이 특히 위험합니다. 사용자가 지인에게 받은 파일이라고 믿고 설치 파일을 열면, 공격자는 그 신뢰 관계를 다시 다음 피해자에게 이용할 수 있습니다.
TCLBanker는 가짜 Logitech Logi AI Prompt Builder 설치 파일처럼 위장한 MSI 패키지를 통해 유포됩니다. 내부에는 악성 DLL과 실행 흐름을 숨기기 위한 장치가 포함되어 있으며, 실행 후에는 분석 도구나 보안 환경을 먼저 확인합니다. 공격자가 샌드박스나 분석 시스템을 피하려는 흔적이 강하기 때문에, 일반 사용자가 겉모습만 보고 정상 설치 파일인지 판단하기는 어렵습니다.
감염 뒤에는 브라우저 주소창을 지속적으로 확인하면서 은행, 핀테크, 암호화폐 관련 사이트 접속을 기다립니다. 보고서에 따르면 감시 대상은 59개 금융 관련 사이트로 정리되어 있습니다. 사용자가 목표 사이트에 접속하면 WebSocket 기반 C2 통신이 활성화되고, 화면 스트리밍, 키 입력 탈취, 클립보드 확인 같은 기능이 동작할 수 있습니다. 이는 단순 비밀번호 탈취보다 훨씬 직접적인 계정 장악 위험으로 이어집니다.
또 하나의 핵심은 WPF 오버레이입니다. 공격자는 가짜 PIN 입력창, 지원센터 안내, Windows Update 화면처럼 보이는 창을 띄워 사용자를 속일 수 있습니다. 사용자는 정상적인 보안 확인 절차라고 착각하지만, 실제로는 공격자가 원하는 인증 정보나 행동을 유도하는 장면일 수 있습니다.
특히 주목할 부분은 전파 방식입니다. TCLBanker는 WhatsApp Web 세션을 악용해 피해자의 연락처로 악성 메시지를 보내고, Outlook 연락처를 이용해 피싱 메일을 발송할 수 있습니다. 즉 감염된 한 사람이 다음 감염 경로가 되는 구조입니다. 메신저나 메일로 온 설치 파일은 보낸 사람이 지인이라도 반드시 별도 확인이 필요합니다.
현재 보고된 표적은 브라질 금융권 중심이지만, 방식 자체는 다른 지역과 서비스에도 응용될 수 있습니다. 실사용 관점에서 가장 중요한 대응은 출처가 불명확한 MSI 설치 파일을 열지 않는 것, 메신저로 받은 링크와 첨부 파일을 습관적으로 클릭하지 않는 것, 금융 사이트 접속 중 낯선 보안창이나 지원창이 뜨면 즉시 중단하는 것입니다.