지난 7월에 해킹 포럼을 통해 판매된 Typhon Stealer가 업그레이드된 모습으로 등장하였다. 최근 발견된 악성코드는 TyphonReborn 이라는 이름으로 판매되며, 텔레그램을 통해 구매가 가능하다. 해당 악성코드는 백신 프로그램 및 가상 환경과 디버깅 환경을 탐지하고, 사용자 PC의 각종 정보와 암호화페 지갑 정보를 탈취하는 등의 동작을 수행한다.
해당 악성코드는 다음의 텔레그램 채널에서 판매되고 있다.
악성 동작이 수행되기 전에 실행 환경이 가상 환경인지, 백신 프로그램이 실행 중인지, 디버깅 프로그램이 실행 중인지를 확인한다. 만약 그렇다면, 프로세스를 종료하고 실행파일을 삭제한다.
그리고 사용자 이름과 국가 정보를 획득하여 특정 대상을 제외한다.
이때 제외되는 국가의 정보는 다음과 같다.
그리고 사용자 PC 및 사용자 계정 정보를 탈취하고, Chrome과 Edge 같은 웹 브라우저의 쿠키 및 사용자 계정 정보가 저장되어있는 DB에 접근하여 해당 정보를 탈취한다. 그 외에도 Instant Message, VPN, FTP 등의 정보를 탈취한다.
탈취한 정보는 파일로 생성되며, 최종적으로 수집한 파일은 zip파일로 압축되어 원격지로 전송된다. 추가적으로 Telegram bot으로 수집한 정보를 전송한다.
TyphonReborm 악성코드는 위에서 본 내용과 같이 사용자 정보를 탈취하고, 지속적인 업데이트를 통해 기능을 강화하고 있다. 또한, 현재까지도 판매하고 있기 때문에 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| OneNote 문서를 활용한 악성코드 유포 (0) | 2023.04.28 |
|---|---|
| Go 언어로 작성된 Aurora 인포스틸러 (0) | 2023.04.21 |
| 소프트웨어 크랙 및 치트 파일로 유포되는 Temp Stealer 악 성코드 (0) | 2022.11.17 |
| VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드 (0) | 2022.09.21 |
| Follina 취약점을 이용한 Woody RAT 악성코드 (1) | 2022.08.23 |