최근 페이스북의 광고 관리자의 계정 정보를 탈취하는 “NodeStealer”가 발견됐다. 페이스북 광고 관리자는 페이스북과 인스타그램에 게시할 광고 생성과 관리 및 추적 등의 기능을 지원하는 서비스로 광고 예산 지출 금액과 한도 금액 및 광고 노출 대상 등 각 광고 목적에 맞는 세부적인 설정이 가능하다.
“NodeStealer”는 페이스북 광고 관리자의 계정 정보와 웹 브라우저에 저장된 비밀번호 및 결제 카드 정보 등의 데이터를 수집해 지정된 경로에 저장한다. 수집 이후에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램 주소로 전송한다.
이 악성코드는 페이스북 광고 관리자 페이지 주소로 GET 요청을 보내 광고 관리자 계정의 API 토큰값을 수집한다. 이후 페이스북에서 데이터를 가져오거나 내보낼 때 사용하는 Graph API를 이용해 관리자의 ID를 비롯한 계정 상태와 금액 사용 한도 및 사용 금액 등의 정보를 수집한다. 이후 수집한 데이터는 지정된 경로 하위에 “data.txt” 파일로 저장한다.
- 수집 데이터 저장 경로 : %temp%\[국가 코드] [IP주소] [파일 실행 시각 및 날짜]
페이스북 광고 관리자 계정 외에 아래 [표 1]의 목록에 해당하는 Chrome과 Edge 및 Firefox 등의 웹 브라우저를 대상으로 정보를 수집한다. 이 과정에서 각각의 웹 브라우저 프로세스를 윈도우 리스타트 매니저와 taskkill 명령어로 프로세스를 종료한 뒤 비밀번호와 결제 카드 및 쿠키 등의 정보를 수집한다. 그 후 지정된 경로 하위에 각각의 브라우저 이름으로 폴더를 생성하고 수집한 정보를 저장한다.
수집한 데이터는 국가 코드와 IP주소 및 악성코드 실행 시각 등으로 구성된 일정한 이름의 압축 파일을 생성하고 공격자의 텔레그램으로 피해자 PC의 운영체제 버전 및 계정 이름 등의 정보를 압축 파일과 함께 전송한다. 아래 [그림 2]은 임의로 텔레그램 봇을 생성하고 데이터 전송에 필요한 토큰값과 ChatID를 수정해 테스트한 결과이다.
정보 수집 외에도 피해자 PC가 재부팅할 때마다 자동 실행되도록 Run 레지스트리에 “Microsoft Service”란 이름의 값을 생성하고 데이터에 “NodeStealer”를 실행하는 파워쉘 명령어를 등록한다. 또한 IP 조회 사이트인 Ipinfo.io에서 피해자 PC의 IP를 조회해서 파악한 지리적 위치가 베트남으로 확인되면 해당 악성코드의 실행을 종료한다.
“NodeStealer”는 페이스북 광고 관리자 계정의 광고 사용 가능 금액과 사용 한도 등의 정보를 웹 브라우저에 저장된 비밀번호 및 쿠키와 함께 수집하며 광고 관리자 계정의 로그인 정보를 탈취한다. 공격자는 수집한 페이스북 광고 관리자 계정 정보로 악성 광고를 만들어 다른 악성코드의 유포나 피싱 공격을 할 수 있어 주의가 필요하다. 따라서 웹 브라우저에 비밀번호 저장은 지양해야 하며 인터넷 쿠키와 접속 기록 등을 주기적으로 삭제하고 백신 프로그램을 항상 최신 버전으로 유지할 것을 권고한다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| HORUS Protector를 이용해 유포되는 Snake Keylogger (0) | 2024.12.09 |
|---|---|
| 텔레그램에서 판매 중인 Angry Stealer 악성코드 (2) | 2024.09.30 |
| Teams 설치 파일로 위장한 Oyster 백도어 (2) | 2024.09.24 |
| 구글 플레이 업데이트로 위장한 Antidot (2) | 2024.07.25 |
| 취약한 드라이버를 악용하는 GhostEngine (0) | 2024.06.17 |