최근 정상 프로그램으로 위장해 사용자의 정보를 탈취하는 악성코드가 발견됐다. 해당 악성코드는 다수의 계정에 로그인할 수 있도록 지원하는 Multilogin 프로그램으로 위장해 사용자의 다운로드를 유도하며, 사용자 PC에 정보 탈취를 위한 악성코드를 설치한다.
“MultiStealer” 악성코드의 유포 및 실행되는 과정은 [그림 1]과 같다.
1. 공격자는 사용자가 악의적으로 제작된 피싱 사이트에 접속해 Multilogin 설치 프로그램으로 위장한 악성코드를 다운로드하도록 유도한다.
2. 사용자가 피싱 사이트에서 다운로드한 파일을 실행하면 “MultiStealer” 악성코드를 사용자 PC에 설치 및 실행한다.
3. 해당 악성코드는 사용자 PC에서 브라우저 로그인 정보 등의 주요 정보를 수집한 후 공격자가 운영하는 C&C 서버로 전송한다.
피싱 사이트에서 다운로드한 파일을 설치할 경우 정상 설치 프로그램과 다르게 정보 수집을 위한 폴더 및 파일을 생성한다.
‘MultiStealer’ 악성코드는 웹 브라우저의 자동 완성 정보 및 로그인 정보 등을 수집하며 브라우저 수집 대상 목록은 [표 1]과 같다.
[표 1]에서 수집한 정보들은 악성코드 설치 경로에 각각 저장되며, 공격자의 C&C 서버로 전송하기 위해 ZIP 파일로 압축한다.
- AutoFill : 브라우저 자동 완성 정보 저장
- Cookie : 브라우저 쿠키 정보 저장
- IP : IP 주소 정보 저장
- Password : 사용자 로그인 정보 저장
이후, 공격자가 만들어둔 텔레그램 봇으로 압축한 파일을 전송한다. 그러나 분석 시점에서는 공격자가 운영하는 C&C 서버와 연결되지 않았다.
마지막으로, 설치한 프로그램의 업데이트 여부를 묻는 메시지 창을 띄운 후 사용자의 응답을 받는다. 그 후, 사용자가 버튼을 클릭하면 공격자에게 전송한 압축 파일을 삭제하고, [그림 5]와 같이 정상적인 Multilogin 다운로드 사이트로 연결한다.
최근 정상 프로그램으로 위장해 사용자의 실행을 유도한 후, 정보를 탈취하는 악성코드가 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
HCrypt 변종을 사용하는 Water Basilisk 캠페인 (0) | 2021.11.24 |
---|---|
동아시아 IT 기업을 공격하는 WinDealer 악성코드 (0) | 2021.11.11 |
APT41 그룹의 Stealth 로더와 ScrambleCross 백도어 (0) | 2021.10.28 |
Squirrelwaffle 로더를 사용하는 캠페인 발견 (0) | 2021.10.26 |
항공 우주 통신 산업체를 타겟으로 공격하는 Novel RAT (0) | 2021.10.20 |