최근 러시아어를 사용하는 다크웹 해킹 포럼에서 “BlackGuard” 스틸러(Stealer) 악성코드의 판매 정황이 발견됐다. “BlackGuard”는 사용자 PC에서 브라우저 및 암호화폐 지갑 등의 정보를 탈취하기 위해 제작된 악성코드이다.
현재, “BlackGuard” 악성코드는 해킹 포럼에서 200 ~ 700 달러의 가격에 판매되고 있다. 게시글에 따르면, 다수의 브라우저 및 암호화폐 지갑 등에서 정보를 수집해 공격자에게 전송하며, 분석을 방지하기 위해 안티 디버깅 기법 및 난독화 등이 적용됐다고 알려졌다.
탐지 및 분석 방지
“BlackGuard” 악성코드를 실행하면 먼저, [표 1]의 목록과 같이 백신 프로그램 및 가상환경 관련 프로세스를 확인한 후 종료한다.
그 후, BlockInput API를 사용해 키보드와 마우스의 입력을 비활성화한다.
추가로, 감염된 PC의 국가 정보를 확인하여 [표 2]의 목록에 해당하는 경우 실행을 종료한다. 실행 제한 대상은 독립 국가 연합(CIS, Commonwealth of Independent States)에 소속된 국가로 구성됐다.
정보 수집
브라우저 정보 수집
“BlackGuard” 악성코드는 [표 3]의 목록에 해당하는 브라우저를 대상으로 히스토리, 비밀번호, 자동완성 및 다운로드 등의 정보를 수집한다.
다음은 브라우저 정보 수집 관련 코드이다.
또한, 기본 브라우저로 설정된 프로그램의 명칭, 경로, 버전 및 User-Agent 정보를 수집해 “UserAgent.txt” 파일로 저장한다.
[그림 5]는 기본 브라우저의 정보를 수집한 후 저장하기까지의 코드이다.
암호화폐 지갑 정보 수집
암호화폐 지갑 정보의 수집은 [표 4]의 목록을 대상으로 진행하며, ‘%AppData’%’ 경로에서 대상과 관련된 폴더가 있는지 확인하고 정보를 지정된 경로로 복사한다.
추가로 크롬과 Edge 브라우저에서 사용 중인 확장 프로그램을 조회한 후, 암호화폐 지갑과 관련된 확장 프로그램에 해당하면 정보를 수집한다.
프로그램 정보 수집
브라우저와 암호화폐 지갑 관련 정보 외에도 VPN, Messenger 및 FTP 등의 프로그램 정보를 수집한다.
스크린샷 촬영
사용자 PC에서 찍은 스크린샷은 ‘C:\Users\Users-Name\AppData\Local\[랜덤 영문자]’ 폴더에 “Screen.png”란 이름으로 저장한다.
업로드
정보 수집을 완료하면 수집한 파일을 압축해 저장한 후, 공격자가 운영하는 C&C 서버로 업로드한다.
하지만, [그림 8]과 같이 분석 시점에서는 연결되지 않았다.
최근, 사용자의 정보를 탈취하기 위한 목적의 악성코드가 다크웹 포럼에서 판매되고 있어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| BazaLoader 및 IcedID를 배포하던 그룹의 새로운 Bumblebee 악성코드 (0) | 2022.05.10 |
|---|---|
| 텔레그램을 통해 다시 돌아온 "Haskers Gang" 해킹 그룹 (0) | 2022.04.22 |
| 해킹 포럼에서 판매 중인 Jester Stealer 악성코드 (0) | 2022.04.20 |
| 인기 프로그램 크랙버전으로 위장하여 유포되는 PrivateLoader 캠페인 (0) | 2022.03.22 |
| 우크라이나에 가해지는 위협적인 사이버 공격 (0) | 2022.03.22 |