Infostealer 18

구글 광고로 유포되는 Statc Stealer

공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다. 피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다. 드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기..

DLL 하이재킹을 통해 퍼지는 Qbot

QakBot 이라고도 알려진 Qbot 은 이메일과 같은 전통적인 전파 수단뿐만 아니라, OneNote, CHM 과 같이 최신 유행하는 전파 수단을 적극적으로 활용하는 모습을 보여왔다. 최근에는 한발 더 나아가 DLL 하이재킹 기술을 통해 정상 실행 파일에 악성 DLL 을 로딩하는 공격 방식이 사용되고 있다. DLL 하이재킹 공격은 Windows OS 의 DLL 로딩 우선 순위를 이용하여, 정상 DLL 대신 동일한 이름의 악성 DLL 을 로딩하는 공격법이다. 최근 발견된 Qbot 은 정상 Wordpad 실행 파일과 악성 DLL 파일 edputil.dll 을 ZIP 으로 압축하여 유포되고 있다. 원래대로라면 Wordpad 는 시스템 폴더 내의 정상 edputil.dll 파일을 로딩해야 하나, DLL 로딩 순..

Go 언어로 작성된 Aurora 인포스틸러

최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다. 윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다. 수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다. 정보 탈취 후에는 추가 악성 행위..

인도네시아 BRI 은행의 고객을 대상으로 하는 피싱 캠페인

최근, 인도네시아 은행인 BRI(Bank Rakyat Indonesia) 고객을 대상으로 하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 BRI 은행으로 위장한 피싱 사이트와 악성 앱을 통해 피해자의 은행 계정 및 OTP를 탈취하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속해 로그인할 경우 입력한 계정 정보를 탈취하고, 추가적으로 OTP 정보를 탈취하기 위한 “SMSeye” 안드로이드 악성코드의 다운로드를 유도한다. 해당 악성 앱은 설치 후 SMS 접근 권한을 요구하고 사용자의 의심을 피하기 위해 실제 BRI 은행 사이트를 띄운다. 이후, 권한을 획득한 악성 앱은 사용자의 SMS 메시지로부터 OTP 정보를 탈취해 공격자의 텔레그램 봇으로 전송한다. Cyble은 Play 스토어 ..

PNG 파일을 통해 유포되는 DropBoxControl 인포스틸러

최근, PNG 파일을 통해 유포되는 "DropBoxControl" 인포스틸러가 발견됐다. 보안 업체 Avast에 따르면, 해커 그룹 Worok이 PNG 파일에 LSB 인코딩을 사용해 "DropBoxControl" 악성코드를 삽입하고 유포한 것으로 알려졌다. 악성 PNG 파일이 실행될 경우, 공격에 필요한 파일들을 드롭한 후 “PNGLoader”를 통해 이미지 파일에 삽입된 데이터를 추출하고 실행 파일 형태로 변환한다. 생성된 실행 파일은 “DropBoxControl” 악성코드로, DropBox에서 제공하는 파일 호스팅 서비스를 악용해 파일 유출 등의 악성 행위를 한다. 사진출처 : Avast 출처 [1] Avast (2022.11.10) - PNG Steganography Hides Backdoor ht..

다시 등장한 TyphonReborn 악성코드

지난 7월에 해킹 포럼을 통해 판매된 Typhon Stealer가 업그레이드된 모습으로 등장하였다. 최근 발견된 악성코드는 TyphonReborn 이라는 이름으로 판매되며, 텔레그램을 통해 구매가 가능하다. 해당 악성코드는 백신 프로그램 및 가상 환경과 디버깅 환경을 탐지하고, 사용자 PC의 각종 정보와 암호화페 지갑 정보를 탈취하는 등의 동작을 수행한다. 해당 악성코드는 다음의 텔레그램 채널에서 판매되고 있다. 악성 동작이 수행되기 전에 실행 환경이 가상 환경인지, 백신 프로그램이 실행 중인지, 디버깅 프로그램이 실행 중인지를 확인한다. 만약 그렇다면, 프로세스를 종료하고 실행파일을 삭제한다. 그리고 사용자 이름과 국가 정보를 획득하여 특정 대상을 제외한다. 이때 제외되는 국가의 정보는 다음과 같다. ..

PyPI 저장소에서 발견된 악성 Python 패키지

최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C..

디스코드를 악용하는 SaintStealer 악성코드

최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. “SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다. 분석 및 중복 실행 방지 “SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “..

러시아 DDoS 공격 도구로 위장한 악성코드

최근, 미국의 네트워크 장비 제조 업체 Cisco가 DDoS 공격 도구로 위장한 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 이 도구가 러시아 웹사이트를 표적으로 하는 DDoS 공격 도구로 위장하고 있으며 주로 Telegram 메신저를 통해 유포된다고 알려졌다. 또한, 이 도구는 "Phoenix InfoStealer" 로 구성된 악성코드이며 실행할 경우 NFT관련 지갑 정보와 암호화폐 관련 정보를 수집해 공격자의 서버에 전송한다고 알렸다. Cisco는 인터넷 채팅방에 업로드 된 소프트웨어를 설치하지 않도록 주의하고, 이메일의 첨부파일은 다운로드 전에 유효성 검사를 해야 한다고 권고했다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco Talosintelligence ..

법무부 사칭한 악성 앱 주의

최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 ..