분석 정보/악성코드 분석 정보

위장된 사이트를 통해 유포되는 Ficker Stealer

TACHYON & ISARC 2021. 4. 28. 09:35

 

온라인 체스 게임, 음악 스트리밍 등 합법적인 서비스를 제공하는 것처럼 위장한 광고를 통해 정보탈취형 악성코드인 Ficker Stealer가 유포되었다.

Ficker Stealer 악성코드는 2020년부터 러시아어를 사용하는 포럼에서 판매되고 있으며, 이를 구매한 공격자들이 다양한 방법으로 해당 악성코드를 유포하고 있다. 이번에 발견된 사례 이외에도 최근까지 RIG Exploit Kit Hancitor 악성코드를 통해 유포되었다.

 

[그림 1] 악성코드 판매 광고

 

이번에 발견된 유포 사례의 경우 공격자들은 온라인 체스 프로그램 및 음악 스트리밍 서비스를 광고하고 있으며, 사용자가 광고를 클릭하면 Microsoft Store Spotify (음악 스트리밍 프로그램)로 위장된 사이트로 연결된다.

 

[그림 2] Microsoft Store 위장 사이트(출처 : ESET Twitter)

 

[그림 3] Spotify 위장 사이트 (출처 : ESET Twitter)

 

 

이후 사용자가 위장된 사이트에서 파일을 다운로드하면 다음 [그림 4]와 같이 정상 프로그램처럼 위장된 Ficker Stealer 악성코드가 다운로드된다.

 

[그림 4] 다운로드된 Ficker Stealer

 

 

사용자가 다운로드된 파일을 실행하면 해당 악성코드는 감염환경의 국가 정보를 확인한다. 만약 실행환경이 [ 1] 목록에 해당한다면 추가 악성행위를 수행하지 않고 종료된다.

 

[표 1] 공격 제외 국가 목록

 

그리고 감염환경의 인터넷 연결 여부를 확인한다. 이를 위해서 IP 확인 사이트인 ipify로 연결하여 감염환경의 IP 주소를 C:\ProgramData\kaosdma.txt 에 저장한다.

 

[그림 5] 인터넷 연결 여부 확인

 

 

앞선 조건들을 만족한다면 다음 [ 2]와 같이 감염환경의 정보, 스크린샷, 브라우저, 암호화폐 지갑 및 소프트웨어 정보를 수집한다.

 

[표 2] 정보 수집 목록

 

수집한 정보는 다음과 같이 XOR로 인코딩하여 공격자의 서버로 전송한다.

 

[그림 6] 수집정보 인코딩

 

 

[그림 7] 정보 탈취

 

Ficker Stealer 악성코드는 러시아어 포럼에서 판매되어 다양한 방법으로 유포되었으며, 최근 정상적인 서비스를 제공하는 것처럼 위장된 사이트를 통해 유포되고 있다. 따라서 신뢰할 수 없는 파일 실행을 지양해야 하며, 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면