최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다.
윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다.
수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다.
정보 탈취 후에는 추가 악성 행위를 위한 페이로드 파일을 다운로드, 실행할 수 있다. 분석 샘플이 다운로드한 악성 파일은 백도어 기능을 가지며, 시스템에 상주하며 정보를 수집하고 공격자의 명령을 실행한다.
정보 수집형 악성 파일은 랜섬웨어처럼 즉각적인 피해가 발생하지 않아 가벼이 여기는 경향이 있지만, 가상 화폐 탈취와 같이 직접적인 금전 피해로 이어질 수 있다. 더구나 Aurora 는 추가 악성 파일을 다운로드하여, 정보 수집 이상의 공격도 수행할 수 있기 때문에 더욱 주의가 필요하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| hVNC 악성 코드 LOBSHOT (0) | 2023.05.23 |
|---|---|
| OneNote 문서를 활용한 악성코드 유포 (0) | 2023.04.28 |
| 다시 등장한 TyphonReborn 악성코드 (0) | 2022.11.21 |
| 소프트웨어 크랙 및 치트 파일로 유포되는 Temp Stealer 악 성코드 (0) | 2022.11.17 |
| VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드 (0) | 2022.09.21 |