[악성코드 분석] Oski Stealer 악성코드 분석 보고서

개인정보를 탈취하는 Oski Stealer 분석 보고서

 

1. 개요

최근 발견된 정보 탈취형 악성코드 “Oski Stealer”는 현재 다크웹 및 러시아 포럼에서 판매 글이 게시되고 있다. 해당 악성코드가 사용자의 시스템에서 실행된다면 인터넷 브라우저 계정정보, 암호화폐 지갑정보, 시스템 정보와 같이 사용자의 중요한 개인정보를 탈취하고 있어 주의가 필요하다.
이번 보고서에서는 개인정보를 탈취하는 “Oski Stealer”에 대해 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

 해당 악성코드는 다크웹 및 러시아 포럼의 판매 글을 통해 유포되고 있으며, 해당 게시 글에는 악성코드의 정보와 텔레그램 아이디가 기재되어 있다.

 

[그림 1] 웹사이트에 게시된 Oski Stealer

 

2-3. 실행 과정

 “Oski Stealer”가 실행되면 시스템 언어를 확인하여 악성 행위 실행 여부를 결정한다. 이후 브라우저 계정정보, 암호화폐 지갑 정보, 시스템 정보 수집 및 현재 화면을 캡쳐 한 뒤 ‘C:\ProgramData\임의의 폴더명\’ 경로에 해당 데이터를 저장한다. 저장된 데이터는 압축파일로 압축하여 C&C 서버로 전송된다.

 

3. 악성 동작

3-1. 시스템 언어 확인

“Oski Stealer” 실행 시, 사용자 PC의 시스템 언어를 확인하여 악성 행위 실행 여부를 결정한다. 만약 시스템 언어가 [표 1]의 목록과 일치한다면 악성 동작 없이 종료된다.

 

[그림 2] 시스템 언어 확인

[표 1] 시스템 언어 확인 목록

3-2. 브라우저, 가상화폐 정보 수집

시스템 언어 확인 후, 브라우저와 가상화폐 지갑 정보가 저장된 파일을 검색하여 사용자 계정 정보, 자동완성, 쿠키 등의 기록을 수집한다.

 

[그림 3] 웹 브라우저 정보 수집

정보 수집 대상은 다음 [표 2]와 같으며, 수집된 정보는 ‘C:\ProgramData\임의의 폴더명\’ 경로에 저장한다.

[표 2] 정보수집 대상 목록

 

[그림 4] 저장된 개인 정보

3-3. 시스템 정보 수집

 

이후 현재 화면의 스크린샷을 저장하며, [표 3]의 목록과 같이 사용자의 시스템 정보를 검색하여 “System.txt” 에 수집 정보를 저장한다.

 

[표 3] 시스템 정보 검색 목록

[그림 5] 저장된 시스템 정보

3-4. 데이터 전송

데이터가 저장된 파일을 zip 파일로 압축하고 C&C 서버로 전송하며, 생성된 파일 및 원본파일 모두 삭제한다.

 

[그림 6] 압축 파일

[그림 7] 수집 정보 전송

4. 결론

이번 보고서에서 알아본 “Oski Stealer”는 현재까지 판매 글이 게시되고 있으며, 업데이트 일정과 세일 정보 등 해당 악성코드의 정보를 지속적으로 업데이트하여 공격자들의 관심을 받고 있기 때문에 주의가 필요하다. 악성코드의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면