SvcStealer, 정보 탈취 후 ClipBanker 유포

2025년 3월 말, 사용자 PC의 웹 브라우저 데이터와 시스템 정보 등을 탈취하는 새로운 정보 탈취 악성코드인 SvcStealer가 발견됐다. 이 악성코드는 웹 브라우저 데이터를 포함한 암호화폐 지갑 정보와 Telegram 또는 Discord 등의 메신저 프로그램의 정보뿐만 아니라 설치된 프로그램의 정보까지 수집해 공격자의 C&C 서버로 전송한다. 정보 탈취 이후 공격자의 C&C 서버에서 ClipBanker를 다운로드하는데 이는 클립보드의 데이터를 변경하는 악성코드로 사용자가 암호화폐를 거래할 때 지갑 주소를 복사할 경우 지정된 주소로 변경돼 공격자에게 송금하게 된다.

 

 

SvcStealer

SvcStealer를 실행하면 수집한 데이터를 저장할 폴더를 생성한 뒤 작업 관리자 등의 프로세스 모니터링 도구를 종료한다. 그 후 웹 브라우저의 데이터와 암호화폐 지갑 정보 등의 정보를 수집한 뒤 이를 압축해 공격자의 C&C 서버로 전송한다. 데이터 탈취 이후에는 공격자의 C&C 서버에서 두 개의 실행 파일을 다운로드 하는데 이 중 하나는 클립보드의 데이터를 변경하는 ClipBanker이다.

 

우선 이 악성코드는 앞으로 수집할 데이터와 파일을 저장할 목적으로 운영체제가 설치된 드라이브의 볼륨 일련번호를 확인한 뒤 [그림 1]의 연산식으로 계산된 22자리의 문자열을 이름으로 한 폴더를 생성한다.

-       폴더 생성 경로 : C:\ProgramData\[22자리 문자열]

 

[그림 1] 수집 데이터 저장 폴더 생성

정보 수집 이전에 프로세스의 목록을 확인해 실행 중인 악성코드가 발견되지 않게 작업관리자나 ProcessHacker 등의 프로세스 모니터링 도구를 종료한다.

-       종료 프로세스 대상 : Taskmgr.exe, ProcessHacker.exe, procexp.exe, procexp64.exe

 

정보 수집

A. 웹 브라우저 데이터

SvcStealer는 Chrome과 Edge를 비롯한 Chromium 기반 브라우저 등을 대상으로 정보를 수집하고 각 브라우저에 저장된 비밀번호나 결제 카드 및 접속 기록 등을 수집해 저장한다.

-       웹 브라우저 수집 대상 : Chrome, Edge, Brave, Opera, Vivaldi, Yandex, Comodo, UR Browser

 

[표 1] 웹 브라우저 수집 대상 및 데이터 목록

 

B. 암호화폐 지갑 정보

다음으로는 사용자 PC에 저장된 암호화폐 지갑과 Chrome이나 Edge 등의 웹 브라우저에 추가된 암호화폐 확장 프로그램을 대상으로 지갑 정보를 수집한 뒤 앞서 생성한 경로 하위에 이름별로 폴더를 생성해 저장한다.

-       데이터 저장 경로 : C:\ProgramData\[22자리 문자열]\Wallets

 

[표 2] 암호화폐 지갑 정보 수집 대상 목록

 

C. 프로그램 및 시스템 정보

웹 브라우저와 암호화폐 지갑 이외에 Discord나 Telegram 등의 메신저 및 FTP 프로그램의 정보를 수집하고 프로세스 목록과 설치된 프로그램 등의 정보도 각각 텍스트 파일로 저장한다.

 

[표 3]  프로그램 및 시스템 정보 수집 대상 목록

 

D. 파일 수집

SvcStealer는 Windows와 Boot 및 휴지통 경로 등을 제외한 텍스트와 사진 및 문서 파일 등을 대상으로 크기가 1KB 미만인 파일을 수집해 저장한다.

-       수집 대상 : .txt, .jpg, .pdf, .docx, .csv, .sql, .cpp, .h, .dat, .wallet, .pkey

-       제외 경로 : Windows, Users, Program Files, Program Files (x86), PerfLogs, $Recycle.Bin, Boot

 

 

C&C 서버 전송 및 다운로드

정보 수집 이후에는 스크린샷을 찍고 앞서 저장한 데이터와 함께 Zip 파일로 압축한 뒤 공격자의 C&C 서버로 전송한다. 전송이 완료되면 폴더와 압축 파일 모두 삭제해 정보를 탈취해 간 흔적을 지운다. 아래 [그림 3]은 공격자에게 전송한 HTTP 패킷이며 내부에 압축 파일이 포함된 것을 확인할 수 있다.

 

[그림 2] C&C 서버 수집 데이터 전송

 

공격자에게 데이터를 전송한 뒤에는 두 개의 실행 파일을 ‘%temp%\temp_[랜덤 5자리 숫자].exe’ 경로에 다운로드한다. 이 중 “temp_14083.exe”는 클립보드의 데이터를 변경하는 ClipBanker이며 나머지 하나인 “temp_14080.exe”는 파일 탐색 이외에 별다른 악성 행위가 발견되지 않았다.

 

[그림 3] C&C 서버 연결 및 파일 다운로드

 

ClipBanker

ClipBanker는 사용자가 암호화폐를 거래하는 도중 클립보드에 암호화폐 지갑 주소가 복사되면 공격자의 지갑 주소로 변경한다. 이로써 사용자는 의도치 않게 공격자에게 송금하거나 본인 대신 받게 된다. 클립보드 변경 이외에는 지정된 경로에 자가복제 한 후 운영체제를 부팅할 때마다 자동으로 실행되도록 레지스트리에 등록한다.

 

먼저 클립보드 관련 함수를 동적으로 로딩한 뒤 현재 클립보드에 저장된 데이터를 가져온다. 클립보드에 저장된 데이터가 파일 내에 하드코딩된 공격자의 암호화폐 지갑 주소와의 길이 및 첫 2바이트가 일치하면 공격자의 지갑 주소로 변경한다.

 

[그림 4] 클립보드 데이터 변경 코드 및 결과

 

클립보드 데이터 변경 이후로는 ‘%ProgramData%’ 경로에 “svchost.exe”나 “svcppa.exe” 이름으로 자가 복제한 뒤 SetFileAttibutesW 함수로 Hidden(0x02) 속성을 지정해 숨김 처리한다. 그 후 사용자 PC가 부팅할 때마다 자동으로 실행되도록 Run 레지스트리에 SystemHandler라는 이름으로 등록한다.

 

[그림 5] 자동 실행 등록

 

SvcStealer는 웹 브라우저 데이터와 시스템 정보 등을 탈취하는 정보 탈취 행위 이외에 공격자의 C&C 서버에서 다운로드한 ClipBanker로 클립보드 내의 복사된 암호화폐 주소를 공격자의 지갑 주소로 변경한다. 따라서 실제 암호화폐 거래 시 사용자 모르게 공격자에게 송금될 수 있어 주의가 필요하다. 이처럼 악성코드로 인한 피해를 예방하기 위해서는 출처가 불분명한 파일의 다운로드 및 실행을 지양하고 백신 프로그램을 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 6.0 진단 및 치료 화면