브라질 금융권 노린 TCLBANKER 트로이목마, 왓츠앱·아웃룩 계정 탈취해 피싱 확산

브라질을 겨냥한 새로운 뱅킹 트로이목마 'TCLBANKER'가 감염된 PC에서 피해자의 왓츠앱과 아웃룩 계정을 탈취한 뒤, 연락처를 악용해 피싱 메시지를 확산시키는 것으로 확인됐다. 이 악성코드는 단순히 금융 정보를 탈취하는 수준을 넘어, 피해자의 신뢰 관계를 무기화해 2차 감염을 유도하는 정교한 공격 패턴을 보여준다. 브라질의 은행, 핀테크 기업, 암호화폐 관련 플랫폼이 주요 표적으로 파악됐다.

엘라스틱 시큐리티 랩스는 이번 공격 캠페인을 'REF3076'으로 분류하고 추적을 시작했다. TCLBANKER는 원격 제어 기능을 갖추고 있어 감염된 시스템에서 추가 명령을 수행하거나 다른 악성코드를 다운로드할 수 있는 구조다. 연구진은 공통된 명령제어 인프라와 코드 패턴을 근거로 이 악성코드가 기존에 알려진 MAVERICK(SORVEPOTEL) 계열과 연관이 있다고 판단했다. 이는 동일 위협 행위자 또는 연계된 공격 그룹이 브라질 금융 생태계를 지속적으로 노리고 있음을 시사한다.

이번 사례는 메신저와 이메일 계정 탈취가 뱅킹 트로이목마의 핵심 확산 경로로 진화했음을 보여준다. 피해자의 연락처에 포함된 가족, 동료, 거래처가 신뢰 기반에서 악성 링크를 클릭할 가능성이 높아 기존 피싱 방식보다 감염 속도와 성공률이 높을 수 있다. 브라질 내 핀테크와 암호화폐 거래 활동이 활발한 상황에서, 금융 데이터 유출과 자산 탈취 위험이 동시에 제기된다. 사용자들은 출처가 의심스러운 첨부 파일이나 링크에 주의해야 하며, 기업은 메신저·이메일 계정의 비정상적 로그인 시도에 대한 모니터링을 강화해야 한다.