최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다.
“SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다.
분석 및 중복 실행 방지
“SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “Sandboxie”의 사용 여부와 원격 데스크톱 프로토콜 (RDP)이 연결됐는지 확인하고, 사용자 PC의 제조업체 정보가 [그림 2]의 목록에 있는 경우에는 실행 중인 프로그램을 종료한다.
정보 수집
가상 환경 등의 사용 여부를 확인한 후, 시스템, 브라우저, 메신저 및 게임 프로그램의 정보를 수집한다.
A. 시스템 정보 수집 및 스크린샷 촬영
먼저, 사용자 PC에서 수집하는 시스템 정보는 [표 1]과 같으며, 수집한 정보는 “information.txt”란 이름의 파일로 저장해 공격자에게 보내진다.
또한, 악성코드를 실행한 시점의 스크린샷을 찍은 후, “Screnshot.jpg”란 파일로 저장 및 압축 파일에 추가한다.
B. 브라우저 정보 수집
다음으로 [표 2]의 브라우저를 대상으로 쿠키, 웹사이트 로그인 정보 및 자동 완성 등의 정보를 수집한다.
수집한 쿠키 정보 중, 크로미움(Chromium) 기반 브라우저의 쿠키 정보는 “Cookies/Chromium” 경로에 저장되고, 쿠키 목록 중, 로블록스(Roblox)와 관련된 쿠키 정보인 “.ROBLOSECURITY”가 있을 경우 “Others/Roblox/Tokens.txt”에 토큰을 별도로 저장한다.
또한, 획득한 브라우저 자동 완성 정보에서 [그림 5]의 목록에 따라 메일 및 로그인 등의 정보를 수집한다.
C. 프로그램 정보 수집
“SaintStealer” 악성코드는 [표 3]의 목록에 해당하는 VPN, 메신저 및 게임 관련 프로그램에서 사용자 로그인 정보 및 토큰 등을 수집한다.
디스코드 토큰의 경우 [그림 6]과 같이 사용자 PC에 설치된 디스코드 프로그램의 ‘Local Storage\leveldb’ 경로에서 “.ldb” 파일을 읽어 수집한다.
네트워크 전송
시스템, 브라우저 및 프로그램에서 수집한 정보는 ZIP 파일로 압축하며 각 정보의 파일명과 경로 정보는 [표 4]와 같다.
수집한 정보의 압축을 완료하면, 디스코드에서 제공하는 웹훅을 이용해 사용자 이름 및 IP 등의 정보와 함께 공격자에게 전송한다.
최근, “SaintStealer”와 같은 정보 탈취형 악성코드가 저렴한 가격에 판매되는 정황이 다수 발견되고 있다. 이러한 악성코드들은 정교하지는 않지만 공격 대상 환경에 접근할 경우에는 심각한 영향을 미칠 수 있어 주의가 필요하다. 따라서, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 오픈소스 코드가 공개된 Luca Stealer 악성코드 (0) | 2022.08.01 |
|---|---|
| 취약점을 이용하여 배포되는 AsyncRAT 악성코드 (0) | 2022.06.23 |
| 소셜 미디어 사용자의 정보를 탈취하는 FFDroider Stealer 악성코드 (0) | 2022.05.13 |
| BazaLoader 및 IcedID를 배포하던 그룹의 새로운 Bumblebee 악성코드 (0) | 2022.05.10 |
| 텔레그램을 통해 다시 돌아온 "Haskers Gang" 해킹 그룹 (0) | 2022.04.22 |