분석 정보/악성코드 분석 정보

Multilogin 사용자를 대상으로 공격하는 악성코드 발견

알 수 없는 사용자 2021. 11. 3. 15:47

최근 정상 프로그램으로 위장해 사용자의 정보를 탈취하는 악성코드가 발견됐다. 해당 악성코드는 다수의 계정에 로그인할 수 있도록 지원하는 Multilogin 프로그램으로 위장해 사용자의 다운로드를 유도하며, 사용자 PC에 정보 탈취를 위한 악성코드를 설치한다.

 

MultiStealer 악성코드의 유포 및 실행되는 과정은 [그림 1]과 같다.

 

[그림 1] MultiStealer 악성코드 흐름도

 

1. 공격자는 사용자가 악의적으로 제작된 피싱 사이트에 접속해 Multilogin 설치 프로그램으로 위장한 악성코드를 다운로드하도록 유도한다.

2. 사용자가 피싱 사이트에서 다운로드한 파일을 실행하면 MultiStealer 악성코드를 사용자 PC에 설치 및 실행한다.

3. 해당 악성코드는 사용자 PC에서 브라우저 로그인 정보 등의 주요 정보를 수집한 후 공격자가 운영하는 C&C 서버로 전송한다.

 

피싱 사이트에서 다운로드한 파일을 설치할 경우 정상 설치 프로그램과 다르게 정보 수집을 위한 폴더 및 파일을 생성한다.

 

[그림 2] MultiLogin 정상 설치 파일 (좌), MultiStealer악성코드 (우)

 

MultiStealer 악성코드는 웹 브라우저의 자동 완성 정보 및 로그인 정보 등을 수집하며 브라우저 수집 대상 목록은 [ 1]과 같다.

 

[표 1] 브라우저 정보 수집 대상

 

[1]에서 수집한 정보들은 악성코드 설치 경로에 각각 저장되며, 공격자의 C&C 서버로 전송하기 위해 ZIP 파일로 압축한다.

-       AutoFill : 브라우저 자동 완성 정보 저장

-       Cookie : 브라우저 쿠키 정보 저장

-       IP : IP 주소 정보 저장

-       Password : 사용자 로그인 정보 저장

 

[그림 3] 수집 정보 압축

 

이후, 공격자가 만들어둔 텔레그램 봇으로 압축한 파일을 전송한다. 그러나 분석 시점에서는 공격자가 운영하는 C&C 서버와 연결되지 않았다.

 

[그림 4] 공격자 C&C 서버 연결 패킷

 

마지막으로, 설치한 프로그램의 업데이트 여부를 묻는 메시지 창을 띄운 후 사용자의 응답을 받는다. 그 후, 사용자가 버튼을 클릭하면 공격자에게 전송한 압축 파일을 삭제하고, [그림 5]와 같이 정상적인 Multilogin 다운로드 사이트로 연결한다.

 

[그림 5] 정상적인 Multilogin 다운로드 사이트

 

최근 정상 프로그램으로 위장해 사용자의 실행을 유도한 후, 정보를 탈취하는 악성코드가 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면