분석 정보/악성코드 분석 정보

디스코드를 악용하는 SaintStealer 악성코드

2022. 6. 15. 15:36

최근 사용자 PC에서 정보를 탈취하는 SaintStealer 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다.

 

SaintStealer 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다.

 

[그림 1] 감염 PC 정보 전송 결과

 

분석 및 중복 실행 방지

SainStealer 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 Sandboxie의 사용 여부와 원격 데스크톱 프로토콜 (RDP)이 연결됐는지 확인하고, 사용자 PC의 제조업체 정보가 [그림 2]의 목록에 있는 경우에는 실행 중인 프로그램을 종료한다.

 

[그림 2] 분석 방지 및 중복 실행 방지 코드

 

정보 수집

가상 환경 등의 사용 여부를 확인한 후, 시스템, 브라우저, 메신저 및 게임 프로그램의 정보를 수집한다.

 

A.   시스템 정보 수집 및 스크린샷 촬영

먼저, 사용자 PC에서 수집하는 시스템 정보는 [1]과 같으며, 수집한 정보는 information.txt란 이름의 파일로 저장해 공격자에게 보내진다.

 

[표 1] 시스템 정보 수집 목록

 

또한, 악성코드를 실행한 시점의 스크린샷을 찍은 후, Screnshot.jpg란 파일로 저장 및 압축 파일에 추가한다.

 

[그림 3] 스크린샷 촬영 코드

 

B.   브라우저 정보 수집

다음으로 [2]의 브라우저를 대상으로 쿠키, 웹사이트 로그인 정보 및 자동 완성 등의 정보를 수집한다.

 

[표 2] 웹 브라우저 및 정보 수집 대상 웹사이트

 

                                   

수집한 쿠키 정보 중, 크로미움(Chromium) 기반 브라우저의 쿠키 정보는 Cookies/Chromium 경로에 저장되고, 쿠키 목록 중, 로블록스(Roblox)와 관련된 쿠키 정보인 .ROBLOSECURITY가 있을 경우 Others/Roblox/Tokens.txt  토큰을 별도로 저장한다.

 

[그림 4] 브라우저 쿠키 및 로블록스 토큰 수집 코드

 

또한, 획득한 브라우저 자동 완성 정보에서 [그림 5]의 목록에 따라 메일 및 로그인 등의 정보를 수집한다.

 

[그림 5] 자동 완성 정보 수집 코드

 

C.   프로그램 정보 수집

SaintStealer 악성코드는 [3]의 목록에 해당하는 VPN, 메신저 및 게임 관련 프로그램에서 사용자 로그인 정보 및 토큰 등을 수집한다.

 

[표 3] 프로그램 정보 수집 대상

 

디스코드 토큰의 경우 [그림 6]과 같이 사용자 PC에 설치된 디스코드 프로그램의 Local Storage\leveldb 경로에서 .ldb 파일을 읽어 수집한다.

 

[그림 6] VPN, 메신저 및 게임 프로그램 정보 수집 코드

 

네트워크 전송

시스템, 브라우저 및 프로그램에서 수집한 정보는 ZIP 파일로 압축하며 각 정보의 파일명과 경로 정보는 [6]과 같다.

 

[표 4] 압축 파일 정보

 

수집한 정보의 압축을 완료하면, 디스코드에서 제공하는 웹훅을 이용해 사용자 이름 및 IP 등의 정보와 함께 공격자에게 전송한다.

 

[그림 7] 네트워크 통신 코드 – 디스코드 웹훅

 

 

최근, SaintStealer와 같은 정보 탈취형 악성코드가 저렴한 가격에 판매되는 정황이 다수 발견되고 있다. 이러한 악성코드들은 정교하지는 않지만 공격 대상 환경에 접근할 경우에는 심각한 영향을 미칠 수 있어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다. 

 

[그림 8] TACHYON Internet Security 5.0  진단 및 치료 화면