분석 정보/악성코드 분석 정보

[악성코드 분석] Matiex Keylogger 악성코드 분석 보고서

TACHYON & ISARC 2020. 10. 23. 16:31

지난 2019년에 최초로 등장한 ‘Matiex Keylogger’가 최근 다시 모습을 드러내고 있다. 해당 악성코드는 유료 악성코드로서 온라인에서 판매 중이며, 사용자의 개인정보를 탈취하는 등 다양한 악성 동작을 보유하고 있어 주의가 필요하다.

 

이번 보고서에서는 ‘Matiex Keylogger’ 의 주요 악성 동작에 대해 알아본다.

 

해당 악성코드는 사용 가능한 기간에 따라 가격대는 다양하며, 누구나 쉽게 접할 수 있도록 설계되어있다.

 

 

[그림 1] Matiex Keylogger 판매 사이트

 

Matiex Keylogger’가 실행되면 사용자의 PC 정보를 획득한 뒤, 텍스트 파일로 생성한다.

 

 

[그림  2]  생성된  txt  파일

 

위와 같이 생성된 파일의 내용을 C2 서버에 전송한다.

 

 

[그림  3] C2 서버 전송 코드

 

[그림  4]  패킷

 

사용자 PC의 정보를 탈취한 뒤, 다양한 사용자 계정 정보를 탈취한다.

 

 

[표  1]  메인 함수에 포함되어있는 탈취 대상

 

 

Outlook 을 사용중인 사용자라면 아래의 레지스트리 키 경로에 저장되어있는 사용자의 계정정보를 획득한다.

 

 

[표  2]  레지스트리 경로

 

 

[그림  5] Outlook  비밀번호 탈취 코드

 

Foxmail의 경우, 사용자 정보 및 설정이 저장되어있는 ‘HKEY_CURRENT_USER\Software\Classes\Foxmail.url.mailto

\Shell\open\command’ 에 접근하여 계정 정보를 획득한다.

 

 

[그림  6] Foxmail  계정정보 탈취 코드

 

 메일 계정을 정보를 획득한 다음, 브라우저 사용자 정보에 접근하여 정보를 탈취한다.

 

 

[그림 7] Yandex  브라우저 정보 탈취 코드

 

 브라우저 디렉토리 안에 저장되어 있는 사용자 정보 데이터 베이스를 SQLite를 통해 탈취한다.

 

[그림  8]  크롬 브라우저 정보 탈취 코드

 

Yandex Google 브라우저 외에도 다양한 브라우저를 대상으로 정보 탈취가 가능하다.

 

[그림  9]  그 외 브라우저 목록

 

 해당 악성코드는 이름처럼 키로그 동작을 하면서 또 다른 악성 동작을 할 수 있다. 아래의 그림과 같이 표준 모듈의 클래스에 다양한 악성 코드가 존재한다.

 

 이번 보고서에서 알아본 ‘Matiex Keylogger’ 악성코드는 키로그 뿐만 아니라 웹 브라우저, 메일 계정 탈취 등의 추가적인 악성 동작을 수행하기에 사용자들의 주의가 필요하다. 사용자는 출처가 불분명한 파일의 실행을 주의해야 하며 안티바이러스 제품을 설치해 악성코드의 감염을 미리 방지할 수 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

 

[그림  11] TACHYON Internet Security 5.0  진단 및 치료 화면