stealer 11

보안 봇을 회피하는 Raccoon 스틸러 판매 정황 발견

수백만 명의 개인정보를 탈취한 “Raccoon” 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다. “Raccoon” 스틸러는 감염된 시스템의 자격 증명과 암호화폐 지갑 정보 등을 탈취해 ‘%Temp%’ 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 보안 업체 CyberInt는 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다. 또한, 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다고 언급했다. 한편, 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다고 덧붙였다. 이에 대해 CyberInt ..

중국에서 유포된 정보탈취형 악성 앱

최근 중국에서 유포된 것으로 보이는 정보탈취 앱이 발견되었다. 이 악성 앱은 중국에서 제작 및 판매되는 한 프레임워크를 사용하여 제작되었으며, 앱의 언어 또한 중국어로 설정되어있다. 해당 악성코드는 쇼핑 앱으로 위장하였으며, 문자메시지를 탈취하고 원격지와 통신하여 추가적인 다운로드 동작을 수행한다. 해당 앱은 아래의 그림과 같이 웹사이트를 통해 유포되었으며, 설치 버튼을 누르면 애플리케이션이 다운로드 된다. 문자메시지 수신 동작이 확인되면, 문자메시지 내용과, 수신지, 날짜, 앱의 버전, 안드로이드 id 등의 정보를 탈취하여 원격지로 전송한다. 그리고 원격지와 연결하여 애플리케이션을 설치한다. 해당 앱은 외부저장소의 ‘/dcloud_ad/apk/[시스템 시간].apk’ 경로에 저장된다. 현 분석 시점에는..

보안 소프트웨어를 위장한 악성 앱

최근 해외의 보안 소프트웨어의 이름으로 유포된 악성 앱이 발견되었다. 해당 앱은 단말기에서 나타나는 알림을 탐지하여, 수신되는 SMS 문자메시지 및 Gmail 등의 정보를 탈취하고, 단말기에 설치된 애플리케이션의 정보를 탈취한다. 그 외에도 특정 번호로 전화를 거는 등의 동작을 수행한다. 하단 좌측 그림과 같이 악성 앱은 ‘AVG Antivirus Securite’ 라는 이름으로 유포되었다. 하지만 해당 앱이 실행되면, 하단 우측 그림의 빨간 상자와 같이 ‘Youtube’로 아이콘과 이름이 변경된다. 다음 코드에서 보이는 것과 같이, 악성 앱은 필요한 권한을 획득하기 위해 접근성 노드 정보에 대해 허용의 버튼을 임의로 클릭한다. 그 외에도 사용자의 눈에 띄지 않기 위해서, 알람과 같은 시스템 알림의 소리..

소스 코드가 공개된 CypherRAT

작년 10월경, SpyNote 또는 SpyMax 로 알려진 정보탈취형 안드로이드 악성 앱의 변종인 CypherRAT 의 소스 코드가 Github 에 공개되었다. 소스 코드가 공개되어 CypherRAT 을 활용한 캠페인이 활발짐에 따라 사용자의 주의가 필요하다. CypherRAT 은 앱을 최초 실행하면 사용자에게 과도한 접근성 서비스 권한을 요청하도록 유도하는 웹뷰를 출력한다. 악성 앱이 요청하는 접근성 서비스 권한에는 행위 모니터링, 제스처 수행, 등이 포함되며 이를 이용하여 정보 탈취, 단말기 조작을 수행할 수 있다. CypherRAT 은 일반적인 안드로이드 악성 앱과 마찬가지로 통화 내역, SMS, 위치 정보, 연락처, 등의 개인 정보를 수집하는 정보 탈취 기능을 가진다. 또한 카메라, 미디어 관련 ..

국내 보안 앱으로 위장한 정보탈취 악성 앱

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는..

소프트웨어 크랙 및 치트 파일로 유포되는 Temp Stealer 악 성코드

최근 소프트웨어 크랙이나 치트 파일로 위장되어 “TempStealer” 정보 탈취 악성코드가 배포되고 있다. “TempStealer” 악성코드는 64비트 운영체제를 대상으로 제작되었으며 전 세계를 타겟으로 정보와 데이터를 탈취한다. 해당 악성코드는 현재 다크웹에서 15~49 달러에 판매되고 있으며 사용자의 PC에서 암호화폐 지갑, 시스템 정보, 브라우저 데이터, 소프트웨어 토큰 등을 탈취하여 공격자의 C&C 서버로 전송한다. Analysis “TempStealer”는 공격자의 C&C 서버와 연결을 시도한다. 공격자 서버에 연결이 완료되면 본격적인 정보 탈취 동작을 수행한다. 악성 파일 내부에는 타겟이 되는 암호화폐 지갑에 대한 난독화 데이터가 하드코딩되어 있다. 디코딩 이후에 확인된 타겟 암호화폐 지갑의..

소셜 미디어 사용자의 정보를 탈취하는 FFDroider Stealer 악성코드

최근 소셜 미디어 사용자의 정보를 탈취하는 "FFDroider" Stealer 악성코드가 발견됐다. 보안 업체 Zscaler에 따르면 "FFDroider" 악성코드는 소프트웨어 크랙 및 토렌트 사이트에서 다운로드한 파일 등을 통해 유포된 것으로 알려졌다. 사용자가 해당 악성코드를 실행하면 먼저, 웹 브라우저에 저장된 쿠키 및 자격 증명 정보를 수집한다. 이후, 수집한 정보 중 페이스북 등의 소셜 미디어와 관련된 쿠키 정보를 사용해 인증을 시도하며, 정상적으로 인증되면 사용자의 소셜 미디어 정보가 유출될 수 있다. 브라우저 및 웹사이트 정보 탈취 “FFDroider” 악성코드는 크롬, 마이크로소프트 엣지 등 [표 1]에 작성된 웹 브라우저를 대상으로 쿠키 및 자격 증명 정보를 수집한다. 그 후, 수집한 정..

러시아 해킹 포럼에서 판매되는 새로운 BlackGuard 스틸러 악성코드 발견

최근 러시아어를 사용하는 다크웹 해킹 포럼에서 “BlackGuard” 스틸러(Stealer) 악성코드의 판매 정황이 발견됐다. “BlackGuard”는 사용자 PC에서 브라우저 및 암호화폐 지갑 등의 정보를 탈취하기 위해 제작된 악성코드이다. 현재, “BlackGuard” 악성코드는 해킹 포럼에서 200 ~ 700 달러의 가격에 판매되고 있다. 게시글에 따르면, 다수의 브라우저 및 암호화폐 지갑 등에서 정보를 수집해 공격자에게 전송하며, 분석을 방지하기 위해 안티 디버깅 기법 및 난독화 등이 적용됐다고 알려졌다. 탐지 및 분석 방지 “BlackGuard” 악성코드를 실행하면 먼저, [표 1]의 목록과 같이 백신 프로그램 및 가상환경 관련 프로세스를 확인한 후 종료한다. 그 후, BlockInput API..

해킹 포럼에서 판매 중인 Jester Stealer 악성코드

2021년 7월경 처음 등장한 “Jester” 정보 탈취 악성코드는 지속적인 업데이트와 함께 해킹 포럼에서 판매되고 있다. 해킹 포럼에 게시된 글에 따르면 해당 악성코드는 공격자의 Tor 서버나 익명 파일 공유 서버에 탈취된 데이터가 전송되어 효율적인 관리가 가능하며 메모리에 탈취 데이터를 저장하여 은밀하고 신속하게 악성 동작을 수행할 수 있다. 해당 악성코드는 현재 러시아 해킹 포럼에서 99달러 ~ 999달러에 판매되고 있으며 텔레그렘을 통해 암호화폐로 거래가 이루어진다. 최신 버전의 “Jester” 악성코드는 2022년 1월경 업데이트 됐으며 기존 버전의 악성코드보다 빨라진 데이터 전송 속도를 가졌다고 설명한다. “Jester” 정보 탈취 악성코드를 피해자가 실행하면 로그인 자격 증명, 쿠키, 신용 ..

채팅 앱을 악용하는 Raccoon Stealer 악성코드

Avast Threat Labs의 연구원들이 과거 유행하던 정보 탈취형 악성코드 Raccoon Stealer가 Telegram을 악용하는 기능을 추가했다고 발표했다. Raccoon Stealer와 관련한 자세한 정보는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다. 2019.11.15 - Raccoon Stealer 악성코드 분석 보고서 연구원들에 따르면 최근 발견된 Raccoon Stealer 악성코드는 Telegram 인프라에 C2 주소를 저장한다. 또한, 연구원들은 해당 악성코드가 C2 명령을 통해 Clipboard Stealer와 WhiteBlackCrypt Ransomware 등의 추가 악성코드 파일을 다운로드해 실행한다고 언급했다. 사진 출처 : Avast Threat La..