공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다.
피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다.
드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기 위한 Expert_PDF.exe 과 추가 페이로드를 다운로드하는 cht_x64.exe 를 생성하고 실행한다.
Expert_PDF.exe 가 실행되면 [그림 3]과 같이 정상적인 기능을 가진 프로그램이 실행되어, 사용자가 악성 파일이 몰래 실행되었음을 눈치채지 못하게 한다. 이와 동시에 실행된 cht_x64.exe 는 공격자 서버로부터 정보 탈취 기능을 가진 Statc Stealer 를 다운로드하고 실행한다.
다운로더에 의해 실행되는 Statc Stealer 는 일반적인 정보 탈취형 악성 파일과 마찬가지로 브라우저, 암호 화폐, 메신저와 같이 민감한 개인정보를 가지는 프로그램을 탐색하며, 정보를 수집한다.
이외에도 Chrome 브라우저의 확장 프로그램 중 [표 2] 와 같이 암호 화폐, 패스워드, 이메일과 관련된 프로그램으로부터 정보를 수집한다.
수집된 정보는 암호화된 채 일시적으로 텍스트 파일로 저장된다. 이렇게 저장된 텍스트 파일은 악성 파일 프로세스에 의해 직접 공격자 서버로 전달되지 않고, Powershell 의 Invoke-WebRequest 기능에 의해 전달된 후 삭제된다.
과거의 피싱 사이트 링크는 파일 공유 사이트와 같이 신뢰도가 낮은 곳을 중심으로 유포되었던 반면, 최근에는 점차 일반인들에게 신뢰받는 사이트에 유포되고 있다. 따라서 출처가 불분명한 파일은 다운로드해선 안 되며, 다운로드 시에는 공식 홈페이지를 통해야 한다.
상기 악성 코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| OpenCarrot 백도어 (0) | 2023.08.23 |
|---|---|
| Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드 (0) | 2023.08.23 |
| 웹 브라우저 업데이트로 위장한 RedEnergy 스틸러 (0) | 2023.08.14 |
| DLL 하이재킹을 통해 퍼지는 Qbot (0) | 2023.06.15 |
| hVNC 악성 코드 LOBSHOT (0) | 2023.05.23 |