소프트웨어 크랙 및 치트 파일로 유포되는 Temp Stealer 악 성코드

최근 소프트웨어 크랙이나 치트 파일로 위장되어 “TempStealer” 정보 탈취 악성코드가 배포되고 있다. “TempStealer” 악성코드는 64비트 운영체제를 대상으로 제작되었으며 전 세계를 타겟으로 정보와 데이터를 탈취한다. 해당 악성코드는 현재 다크웹에서 15~49 달러에 판매되고 있으며 사용자의 PC에서 암호화폐 지갑, 시스템 정보, 브라우저 데이터, 소프트웨어 토큰 등을 탈취하여 공격자의 C&C 서버로 전송한다.

 

Analysis

“TempStealer”는 공격자의 C&C 서버와 연결을 시도한다. 공격자 서버에 연결이 완료되면 본격적인 정보 탈취 동작을 수행한다.

 

[그림 1] 공격자 서버 연결 시도

 

악성 파일 내부에는 타겟이 되는 암호화폐 지갑에 대한 난독화 데이터가 하드코딩되어 있다. 디코딩 이후에 확인된 타겟 암호화폐 지갑의 정보는 [표 1]과 같다.

 

[표 1] 타겟 암호화폐 지갑 정보

 

이후, Chromium 및 FireFox 기반 브라우저의 쿠키, 기록 등을 탈취한다.

 

[그림 2] 작업 스케쥴러 (악성코드 실행)

 

또한, “Steam”, “Telegram”, “Discord”과 같은 프로그램이 설치되어 있는지 해당 레지스트리에서 값을 확인하고, 프로그램이 존재한다면 토큰이 저장된 구성 파일을 탐색해 토큰을 탈취한다.

 

[그림 3] 스팀 토큰 정보 탈취

 

사용자 PC의 배경화면을 캡처하기 위해 윈도우 API 스크린샷을 찍은 후, “image.png” 파일명으로 저장한다. 공격자 서버로 해당 파일이 전송되면 삭제한다.

 

[그림 4] 사용자 PC 배경화면 스크린샷 캡처

 

사용자 PC의 정보를 탈취하기 위해 특정 URL로 연결을 시도한다. 해당 URL은 PC의 위치 및 정보를 알려주는 사이트이며, XML 형식의 파일로 다운로드된다. 추가적으로 윈도우 API를 사용하여 시스템 정보를 탈취한다.

 

[그림 5] 사용자 PC 정보 탈취

 

탈취되는 사용자 PC 정보는 [표 2]와 같다.

 

[표 2] 탈취 PC 및 시스템 정보

 

최종적으로, 공격자의 서버에 탈취한 모든 정보를 전송한다.

 

[그림 6] 공격자 C&C 서버로 탈취 정보 전송

 

“Temp Stealer” 악성코드는 사용자의 시스템 정보 및 암호화폐 지갑, 브라우저 정보 등을 탈취하며 공격자의 서버에 전송한다. 해당 악성코드는 누구든 다크웹에서 구매해 동작을 추가할 수 있고, 웹 상에서 정상 프로그램의 크랙이나 치트로 유포되므로 검증되지 않은 사이트에서 파일을 다운로드할 때는 주의를 기울일 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면