최신 보안 동향

피싱 메일을 통해 유포되는 DarkCloud 악성코드

TACHYON & ISARC 2023. 4. 7. 17:20

새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다.

 

이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다.

 

이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다.

 

[인보이스로 위장한 DarkCloud 악성코드]

사진출처 : Cyble

 

 

출처

[1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer

https://blog.cyble.com/2023/02/20/decoding-the-inner-workings-of-darkcloud-stealer/