분석 정보/악성코드 분석 정보

소셜 미디어 사용자의 정보를 탈취하는 FFDroider Stealer 악성코드

2022. 5. 13. 09:24

최근 소셜 미디어 사용자의 정보를 탈취하는 "FFDroider" Stealer 악성코드가 발견됐다. 보안 업체 Zscaler에 따르면 "FFDroider" 악성코드는 소프트웨어 크랙 및 토렌트 사이트에서 다운로드한 파일 등을 통해 유포된 것으로 알려졌다. 사용자가 해당 악성코드를 실행하면 먼저, 웹 브라우저에 저장된 쿠키 및 자격 증명 정보를 수집한다. 이후, 수집한 정보 중 페이스북 등의 소셜 미디어와 관련된 쿠키 정보를 사용해 인증을 시도하며, 정상적으로 인증되면 사용자의 소셜 미디어 정보가 유출될 수 있다.

  

브라우저 및 웹사이트 정보 탈취

FFDroider 악성코드는 크롬, 마이크로소프트 엣지 등 [1]에 작성된 웹 브라우저를 대상으로 쿠키 및 자격 증명 정보를 수집한다. 그 후, 수집한 정보에서 페이스북, 인스타그램 및 아마존 등의 소셜 미디어와 전자 상거래 관련 사이트의 정보를 탈취한다.

 

[표 1] 웹 브라우저 및 정보 수집 대상 웹사이트

 

또한, 수집한 정보 페이스북 또는 인스타그램의 쿠키를 획득해 해당 소셜 미디어에 인증을 시도한다.

 

[그림 1] 페이스북 및 인스타그램 쿠키를 사용한 인증 관련 코드

 

정상적으로 인증되면 /settings 값의 정보를 추가로 요청해 해당 쿠키와 연결된 사용자 계정의 액세스 토큰 정보를 획득한다. 그 다음, 액세스 토큰을 사용해 사용자의 페이스북 계정에 접근을 시도한다.

 

[그림 2] 사용자 계정에 접근을 위한 HTTP 요청 설정 코드

 

만약, 사용자 계정의 권한을 획득하게 될 경우 페이스북에서는 광고 관리자의 결제 내역 정보와 북마크 및 사용자의 개인 정보 등을 수집하며, 인스타그램에서는 피해자 계정의 이메일 주소, 휴대폰 번호 및 기타 개인 정보 등을 가져온다.

 

[표 2] 소셜 미디어 정보 수집을 위한 요청

 

이전 단계에서 수집한 정보는 공격자의 C&C 서버로 전송한다. 하지만 분석 시점에서는 연결되지 않았다.

 

[그림 3] 공격자의 C&C 서버 연결 패킷

 

자가 복제

추가로 지정된 경로에 원본 실행 파일과 동일한 이름으로 자가 복제 파일을 생성하며, 인터넷 메신저인 텔레그램 (Telegram) 아이콘으로 위장한다.

- 자가 복제 파일 경로 : C:\Users%USERNAME%\Documents\VlcpVideov1.01\<원본 파일명>.exe

 

[그림 4] 자가 복제 결과

 

레지스트리 키 생성

해당 악성코드를 실행하면 "HKCU\Software\ffdroider\FFDroider" 레지스트리 키를 생성해 실행한 응용프로그램의 정보를 기록한다.

 

[표 3] 레지스트리 등록 결과 및 정보

 

파일 다운로드

마지막으로 수집한 정보를 전송한 후, 지정된 URL에서 추가 파일 다운로드를 시도한다. 다운로드한 파일은 자가 복제 파일과 동일한 경로에 install.exe라는 이름으로 생성된다.

- 파일 다운로드 저장 경로 : C:\Users\%USERNAME%\Documents\VlcpVideov1.01\install.exe

 

[그림 5] 파일 다운로드 코드

 

 

최근, 사용자의 소셜 미디어 또는 전자 상거래 사이트의 정보를 탈취하는 악성코드가 발견되고 있어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면