인포스틸러15 오픈 소스 코드를 이용하는 Phantom Stealer Stealerium 은 2022년 교육적인 목적으로 오픈 소스로 공개된 정보 탈취형 악성 파일로, 분석가들이 악성 파일을 연구하는데 도움이 되기도 했지만 공격자들이 쉽게 유사한 변종을 제작할 수 있는 계기를 제공하기도 했다. Phantom Stealer 도 이러한 변종 중 하나로, Stealerium 과 유사하게 모듈화된 정보 탈취 기능을 이용해 사용자 인증 정보, 암호 화폐 관련 정보를 탈취하거나 추가 악성 파일을 다운로드하는 기능을 수행한다. 본 보고서에서 분석한 샘플은 다음과 같은 흐름에 따라 공격이 진행된다. 최초 실행되는 자바스크립트 이후의 후속 스크립트와 최종 페이로드(payload)는 디스크에 파일을 생성하지 않고 메모리상에서 즉시 실행되는 파일리스(Fileless) 기법을 사용한다. 공격.. 2025. 12. 24. 텔레그램으로 정보를 탈취하는 PupkinStealer 최근 .NET 기반의 정보 탈취 악성코드 PupkinStealer가 발견됐다. 이 악성코드는 웹 브라우저에 저장된 로그인 정보, 바탕화면 경로의 파일, 디스코드 토큰값 및 텔레그램 세션 데이터 등의 다양한 사용자 정보를 수집한다. 수집한 데이터는 ZIP 아카이브 형태로 압축하고 수집 정보 개수와 수집 성공 여부와 함께 공격자의 텔레그램 봇 주소로 전송한다. PupkinStealer는 난독화나 암호화 또는 자동 실행 등록 등의 기능 없이 동작하도록 설계됐으며 실행 직후 정보 수집 행위를 비동기 작업으로 생성해 정보를 빠르게 수집하고 공격자에게 전송하도록 구성돼 있다. PupkinStealer는 Task.Run 함수를 사용해 정보 수집과 스크린샷 캡처 동작을 비동기로 생성 및 실행하고 작업이 모두 완료되면.. 2025. 5. 30. SvcStealer, 정보 탈취 후 ClipBanker 유포 2025년 3월 말, 사용자 PC의 웹 브라우저 데이터와 시스템 정보 등을 탈취하는 새로운 정보 탈취 악성코드인 SvcStealer가 발견됐다. 이 악성코드는 웹 브라우저 데이터를 포함한 암호화폐 지갑 정보와 Telegram 또는 Discord 등의 메신저 프로그램의 정보뿐만 아니라 설치된 프로그램의 정보까지 수집해 공격자의 C&C 서버로 전송한다. 정보 탈취 이후 공격자의 C&C 서버에서 ClipBanker를 다운로드하는데 이는 클립보드의 데이터를 변경하는 악성코드로 사용자가 암호화폐를 거래할 때 지갑 주소를 복사할 경우 지정된 주소로 변경돼 공격자에게 송금하게 된다. SvcStealerSvcStealer를 실행하면 수집한 데이터를 저장할 폴더를 생성한 뒤 작업 관리자 등의 프로세스 모니터링 도구를 .. 2025. 4. 11. NodeStealer, 페이스북 광고 관리자 계정 정보 탈취 최근 페이스북의 광고 관리자의 계정 정보를 탈취하는 “NodeStealer”가 발견됐다. 페이스북 광고 관리자는 페이스북과 인스타그램에 게시할 광고 생성과 관리 및 추적 등의 기능을 지원하는 서비스로 광고 예산 지출 금액과 한도 금액 및 광고 노출 대상 등 각 광고 목적에 맞는 세부적인 설정이 가능하다. “NodeStealer”는 페이스북 광고 관리자의 계정 정보와 웹 브라우저에 저장된 비밀번호 및 결제 카드 정보 등의 데이터를 수집해 지정된 경로에 저장한다. 수집 이후에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램 주소로 전송한다. 이 악성코드는 페이스북 광고 관리자 페이지 주소로 GET 요청을 보내 광고 관리자 계정의 API 토큰값을 수집한다. 이후 페이스북에서 데이터를 가져오거나 내보낼.. 2024. 12. 31. 텔레그램에서 판매 중인 Angry Stealer 악성코드 최근 텔레그램에서 판매 중인 정보 탈취 악성코드 "Angry Stealer"가 발견됐다. 이 악성코드는 텔레그램 채널 "ANGRY STEALER"에서 150달러에 판매되고 있으며, 해당 채널에는 수집 가능한 항목과 탈취한 결과물 그리고 제작자의 프로필 정보가 게시됐다. "Angry Stealer"를 실행하면 웹 브라우저와 암호화폐 지갑 등의 데이터를 수집하고 스크린샷을 찍어 지정한 경로에 폴더를 생성한 뒤 수집한 데이터를 저장한다. 그리고 국가 코드와 IP 주소를 비롯해 일정한 형식의 파일 이름으로 압축 파일을 만들어 공격자의 텔레그램으로 전송한다. 분석파일 드롭 및 실행"Angry Stealer"를 실행하면 '%temp%' 경로에 2개의 파일을 드롭한다. 이 중 "Stepasha.exe"가 정보 탈.. 2024. 9. 30. CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인 최근 CDN(Content Delivery Network) 캐시를 악용해 악성코드를 유포한 캠페인이 발견됐다. 보안 업체 Cisco Talos는 공격자가 탐지 기술을 회피하기 위해 CDN 캐시를 다운로드 서버로 사용했다고 언급했다. 또한, 업로드한 악성 ZIP 파일을 영화 파일로 속여 사용자가 다운로드하도록 유도했다고 전했다. 이때 사용자가 ZIP 파일을 다운로드해 내부의 바로가기 파일을 실행하면 감염 체인이 시작된다고 덧붙였다. 최종적으로 “Cryptbot”과 “LummaC2” 및 “Rhadamanthys” 등의 인포스틸러 악성코드를 사용해 사용자의 정보를 탈취한다고 설명했다. Cisco Talos 측은 캠페인에서 사용된 기술과 공격 방식을 근거로 베트남 출신으로 알려진 CoralRaider 조직이 배.. 2024. 4. 29. 이전 1 2 3 다음
