최근 은행과 물류 산업을 표적으로 하는 "Chaes" 악성코드 변종이 발견됐다.
사용자가 안티바이러스 소프트웨어 프로그램인것처럼 위장한 악성 MSI 설치 프로그램을 실행하면 악성코드가 ‘%Appdata%\<protuhuese_name>’ 폴더 아래에 파일을 설치한다. 이후 악성코드는 ChaesCore라고 불리는 핵심 모듈의 압축을 풀고 공격자가 운영하는 C&C 서버와 통신이 가능해지면 외부 모듈을 사용자의 시스템에 다운로드하고 로드한다. 이때, 독립적으로 업데이트가 가능한 7가지 모듈이 설치되는데 각각의 모듈들은 다양한 악의적인 기능을 수행한다. 그 중 Init 모듈은 시스템의 데이터를 수집하고, Stealer 모듈은 Chromium 기반 브라우저에서 데이터를 훔치는 역할을 담당한다.
최종적으로 사용자의 시스템에서 C&C 서버로 파일을 전송해 정보를 탈취한다.
사진 출처 : Morphisec
출처
[1] Morphisec (2023.09.05) – Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
'최신 보안 동향' 카테고리의 다른 글
| 스마트폰의 비밀번호를 훔치는 WiKI-Eve 공격 (0) | 2023.09.15 |
|---|---|
| LockBit 랜섬웨어를 대체하는 3AM 랜섬웨어 (0) | 2023.09.15 |
| 은행 계정을 탈취하는 MMRat 발견 (0) | 2023.08.31 |
| OfficeNote로 위장한 XLoader 악성코드 (0) | 2023.08.28 |
| Zimbra 이메일 계정을 노리는 피싱 캠페인 (0) | 2023.08.25 |