분석 정보/악성코드 분석 정보

다양한 방법으로 유포된 RedLine Stealer 악성코드

알 수 없는 사용자 2021. 6. 21. 17:32

"RedLine Stealer" 는 정보탈취형 악성코드로 해커 포럼에서 판매중이며 크랙 버전도 발견되고 있다.

 

해당 악성코드는 코로나 19 이슈를 악용한 피싱 메일을 통해 처음 등장하였으며 정상 프로그램 위장, 피싱 페이지 등의 방식을 이용하여 유포된 사례가 지속적으로 발견되고 있다. 또한 최근에도 디지털 아티스트들에게 업무를 의뢰한다고 접근하여 "RedLine Stealer" 악성코드를 다운로드하고 실행을 유도한 사례가 발견되었다.

 

실행된 "RedLine Stealer" 악성코드는 브라우저, FTP 및 게임 프로그램 등 사용자 PC의 다양한 정보를 탈취한다.

 

[그림 1] 해커 포럼 판매 광고

 

최신 유포 사례

"RedLine Stealer" 악성코드는 20203월 경 코로나 19 이슈를 악용한 피싱 메일 유포를 시작으로 피싱 웹 사이트 혹은 악성코드를 통한 추가 다운로드 등의 방식을 통해 유포된 것으로 알려졌다.

 

그리고 최근에는 악성 프로젝트 파일, Google 광고 악용, 사진 편집 프로그램 위장 등의 방식을 사용하여 유포된 사례가 다수 발견되었다.

 

악성 프로젝트 파일

20214월부터 5월까지 발견된 사례로 공격자는 애플리케이션 빌드 방법과 내용에 대한 정보가 담긴 프로젝트 파일 (.proj)에 "RedLine Stealer" 악성코드를 삽입하였으며, 정상 MSBuild 를 통해 애플리케이션 빌드 시 악성 프로젝트 파일의 정보를 읽어 "RedLine Stealer" 악성코드가 실행되는 방법으로 유포하였다.

 

[그림 2] 프로젝트 파일에 삽입된 RedLine 악성코드

 

Google 광고 악용

2021 5, 공격자들은 가짜 웹 사이트를 제작하고 Google 에 광고비를 지불하여, 제작한 웹사이트가 상위 검색 결과로 노출되도록 하였다.

 

사용자가 해당 사이트를 방문하여 파일 다운로드시, 악성 ISO 파일이 다운로드되며 해당 파일에는 정상 프로그램 설치 파일로 위장한 "RedLine Stealer" 악성코드가 포함된 것으로 알려졌다.

 

[그림 3] 다운로드된 ISO 파일에 포함된 RedLine Stealer

 

사진 편집 프로그램 위장

2021 6, 공격자는 디지털 아티스트들에게 디지털 아트 제작 혹은 사진 편집 프로그램 배포를 의뢰하여 접근하였다. 이를 통해 의뢰와 관련된 파일이라며 이미지 파일과 함께 악성코드를 전달하거나 가짜 사진 프로그램 사이트 주소를 보내 "RedLine Stealer" 악성코드를 다운로드하여 실행하도록 유도하였다.

 

[그림 4] 위장 사이트에서 다운로드되는 악성코드

 

RedLine Stealer

"RedLine Stealer"는 정보탈취형 악성코드로 실행 시, 다음 [1] 목록과 같이 PC 정보, 파일, 브라우저, 암호화폐 지갑 및 소프트웨어 등 감염환경의 다양한 정보를 탈취한다.

 

 [표 1] 정보 수집 목록

 

공격자의 C&C 서버와 연결하여 탈취한 정보를 전송한다.

 

[그림 5] 정보 탈취

 

정보를 탈취한 이후, 공격자의 명령을 전달받아 다음 [ 2]와 같이 지정된 명령 수행, 파일 다운로드, 링크 열기 등의 악성행위를 수행한다.

 

 [표 2] 명령어

 

"RedLine Stealer" 악성코드는 사용자가 의심없이 파일을 다운로드 받아 실행하도록 유도하고 있으며, 정식 판매 광고 뿐만 아니라 크랙된 버전마저 유포되고 있어 주의가 필요하다. 따라서 출처가 불분명한 파일 실행을 지양해야 하며, 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면