텔레그램에서 판매 중인 Angry Stealer 악성코드

최근 텔레그램에서 판매 중인 정보 탈취 악성코드 "Angry Stealer"가 발견됐다. 이 악성코드는 텔레그램 채널 "ANGRY STEALER"에서 150달러에 판매되고 있으며, 해당 채널에는 수집 가능한 항목과 탈취한 결과물 그리고 제작자의 프로필 정보가 게시됐다.

 

"Angry Stealer"를 실행하면 웹 브라우저와 암호화폐 지갑 등의 데이터를 수집하고 스크린샷을 찍어 지정한 경로에 폴더를 생성한 뒤 수집한 데이터를 저장한다. 그리고 국가 코드와 IP 주소를 비롯해 일정한 형식의 파일 이름으로 압축 파일을 만들어 공격자의 텔레그램으로 전송한다.

 

[그림 1] 텔레그램 악성코드 판매 게시글

 

분석

파일 드롭 및 실행

"Angry Stealer"를 실행하면 '%temp%' 경로에 2개의 파일을 드롭한다. 이 중 "Stepasha.exe"가 정보 탈취 동작을 수행하는 "Angry Stealer"이며, “MotherRussia.exe”는 사용자가 입력한 정보로 또 다른 실행 파일을 생성하는 빌더이다.

 

[그림 2] 파일 드롭 결과

 

드롭된 파일 중 "MotherRussia.exe"는 사용자에게 토큰과 아이디 및 뮤텍스 값 등을 입력 받는다. 그 후 사용자가 입력한 값과 "stub.il" 파일의 코드를 사용해 새로운 EXE 파일을 생성하려 하지만 "stub.il" 파일이 존재하지 않아 더 이상의 동작은 확인할 수 없다.

 

[그림 3] 악성코드 빌더 실행 화면

 

 

정보 수집

"Stepasha.exe"는 웹 브라우저와 시스템 정보를 비롯한 각종 데이터를 수집하고 스크린샷을 찍어 지정된 경로에 저장한다. 수집 완료 이후에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램으로 전송한다.

- 수집 데이터 저장 경로 : C:\Users\[Username]\AppData\Local\44_23

 

A. 웹 브라우저 정보 수집

이 악성코드를 실행하면 아래 [표 1]의 목록에 해당하는 Edge 브라우저와 Chrominum 및 Gecko 기반 브라우저를 대상으로 비밀번호와 신용카드 등의 정보를 수집한다. 그 후 지정된 경로 하위에 “Browsers” 폴더를 생성하고 수집한 데이터를 저장한다.

 

[표 1] 웹 브라우저 정보 수집 목록

 

B. 프로그램 정보 수집

다음으로는 VPN과 Messenger 및 FTP 등의 프로그램 정보를 수집한다. 이때, VPN과 Messenger 프로그램 대상으로는 저장된 사용자 계정 정보를 탈취하고, Filezilla 프로그램에서는 최근 연결한 FTP 서버의 IP 주소와 포트 번호 및 로그인 정보를 수집한다.

 

[표 2] 프로그램 정보 수집 목록

 

C. 파일 수집

웹 브라우저와 프로그램 정보 수집 외에도 바탕화면과 문서 등의 경로에서 파일 크기가 1.25MB 이하인 파일들만 수집하고, 지정된 경로 하위에 "Files' 폴더를 만들어 수집한 파일들을 저장한다.

 

[표 3] 파일 수집 경로

 

D. 암호화폐 지갑 정보 수집

파일 수집 이후에는 [표 4]의 목록을 대상으로 암호화폐 지갑 정보 수집을 진행한다. 이 과정에서 레지스트리를 조회해 암호화폐 지갑 설치 유무와 경로를 확인한 뒤 데이터를 수집한다. 그리고 지정된 경로에 “wallets”이란 폴더를 생성해 수집한 데이터를 저장한다.

 

[표 4] 암호화폐 지갑 정보 수집 목록

 

E. 시스템 정보 및 프로세스 목록 수집

또한, 사용자 PC의 지리적 위치와 사용자 계정명 및 IP 주소 등을 비롯한 다음의 목록을 대상으로 시스템 정보들을 수집한 뒤, 지정된 경로에 "Information.txt"란 이름으로 저장한다. 그리고 현재 실행중인 프로세스 목록도 파악해 “Process.txt”로 저장한다.

 

[표 5] 시스템 정보 수집 목록

 

F. 스크린샷 촬영

정보 수집 이외에도 스크린샷을 찍어 이전에 수집한 데이터와 동일한 경로에 "Screen.png”란 이름으로 저장한다.

 

[그림 4] 스크린샷 촬영

 

데이터 전송

수집한 데이터는 국가 코드와 IP 주소 및 사용자 계정명 등을 비롯해 일정한 형식의 파일 이름으로 압축 파일을 생성하고, 수집한 데이터 개수 및 목록과 함께 공격자의 텔레그램으로 전송한다. 아래 [그림 5]는 임의로 텔레그램 봇을 생성하고 전송 과정에서 사용되는 토큰값과 ChatID를 직접 수정해 테스트한 결과이다.

- 압축 파일명 : 국가코드[날짜]-IP주소-사용자 계정명.zip

 

[그림 5] 텔레그램 전송

 

"Angry Stealer"는 PC 정보 뿐만 아니라 디스코드를 비롯한 메신저 프로그램과 웹 브라우저의 정보까지 탈취하며, 현재까지도 공격자의 텔레그램 채널에서 판매되고 있다. 이처럼 텔레그램과 같이 익명성을 지닌 메신저 플랫폼에서 악성코드를 무료 또는 유료로 제공하는 경우가 점차 많아지고 있어 주의가 필요하다. 따라서, 웹 브라우저와 프로그램에서 비밀번호나 신용카드 등의 사용자 정보 저장과 자동 로그인 기능 사용을 지양하고, OS와 백신 프로그램을 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 6.0 진단 및 치료 화면