분석 정보/악성코드 분석 정보

해킹 포럼에서 판매 중인 Jester Stealer 악성코드

TACHYON & ISARC 2022. 4. 20. 11:55

2021년 7월경 처음 등장한 “Jester” 정보 탈취 악성코드는 지속적인 업데이트와 함께 해킹 포럼에서 판매되고 있다. 해킹 포럼에 게시된 글에 따르면 해당 악성코드는 공격자의 Tor 서버나 익명 파일 공유 서버에 탈취된 데이터가 전송되어 효율적인 관리가 가능하며 메모리에 탈취 데이터를 저장하여 은밀하고 신속하게 악성 동작을 수행할 수 있다.

 

해당 악성코드는 현재 러시아 해킹 포럼에서 99달러 ~ 999달러에 판매되고 있으며 텔레그렘을 통해 암호화폐로 거래가 이루어진다. 최신 버전의 “Jester” 악성코드는 2022년 1월경 업데이트 됐으며 기존 버전의 악성코드보다 빨라진 데이터 전송 속도를 가졌다고 설명한다.

 

“Jester” 정보 탈취 악성코드를 피해자가 실행하면 로그인 자격 증명, 쿠키, 신용 정보 같은 민감한 정보를 탈취하고, 공격자의 텔레그램 및 익명 클라우드 서버에 전송하는 동작을 수행한다.

 

[그림 1] 해킹 포럼에 판매중인 최신 버전 Jester 정보 탈취 악성코드

 

Analysis

1. 분석 방지 및 중복 실행 방지

“Jester” 정보 탈취 악성코드는 실행 시 디버깅 방지 및 중복 실행 방지 기법이 적용돼 있다.

 

디버깅이 진행중일 때 악성코드는 ‘—debug’ 인자 값을 가지고 실행된다. 해당 인자 값을 검색하여 포함되어 있을 시 실행 중인 악성코드를 종료한다.

 

[그림 2] 안티 디버깅 기법 적용

 

또한, 가상 시스템이나 자동 분석 샌드박스와 같은 환경을 이용하는 경우에도 프로세스를 종료한다.

 

[그림 3] 가상 환경 및 샌드박스 탐지

                             

“Jester” 악성코드는 데이터 탈취 시 중복으로 실행되는 것을 방지하기 위해 레지스트리를 확인해 “State”라는 키 값을 검색한다. 이후, “State” 키의 값이 “1”이면 프로세스를 종료하며 만약 해당 키 값이 존재하지 않는다면 레지스트리에 추가하여 추후의 중복 실행을 막는다.

 

[그림 4] 중복 실행 방지 (레지스트리 검색 및 등록)

 

2. 사용자 데이터 탈취

위의 동작이 마무리되면 “Jester” 악성코드는 사용자 PC에 존재하는 데이터를 탈취한다. 해당 악성코드는 실행 중인 프로세스 내부 메모리에 탈취 데이터를 저장하고 암호화 한 후, 압축하여 전송할 준비를 마친다.

 

우선 사용자 PC의 정보를 탈취하여 메모리에 저장한다. PC의 시스템, 하드웨어 및 네트워크 정보를 탈취하며 [그림 5]는 메모리에 저장된 정보를 정리해 놓은 자료이다.

 

[그림 5] 사용자 PC 정보 탈취

 

또한, 사용자가 사용하는 프로그램 및 브라우저 데이터를 탈취하여 암호화한다.

 

[표 1] 데이터 탈취 정보

 

탈취한 데이터의 개수 및 사용자 도메인, 서비스 목록을 탈취하여 메모리에 저장한다. 최종적으로 “[공격자 이름]_[사용자 이름]_[시스템 이름].zip” 이란 이름으로 압축하여 공격자에게 전송할 준비를 한다.

 

[그림 6] 추가 탈취 동작

 

데이터 탈취와 압축이 마무리되면 해당 압축 파일을 암호화하여 공격자에게 전송할 준비를 마친다.

 

[그림 7] 탈취 데이터 압축 파일 바이너리 및 암호화

 

3. 공격자 C&C 서버 연결 및 전송

“Jester” 악성코드는 클라우드 서버에서 Tor 브라우저를 다운로드한 후 탈취한 데이터를 우선적으로 공격자의 Tor 서버에 전송한다.

 

[그림 8] Tor 브라우저 다운로드 및 탈취 데이터 전송(Tor 서버)

 

만약 공격자 Tor 서버 전송이 실패할 경우 탈취한 데이터를 압축한 파일을 “%TEMP%” 경로에 드랍하고, 익명 파일 공유 서버에 해당 파일을 업로드한다. 업로드가 완료되면 압축 파일을 삭제한다.

 

[그림 9] 익명 파일 공유 서버에 업로드 된 탈취 정보

 

4. 자가 삭제

모든 동작이 종료되면 “Jester” 악성코드는 명령 프롬프트를 이용해 자가 삭제를 시도한다.

 

[그림 10] 자가 삭제 실행 코드

 

“Jester” 정보 탈취 악성코드는 사용자의 PC 정보뿐만 아니라 계정 및 지갑 정보까지 탈취한다. 또한, 해당 악성코드는 현재까지도 판매 중이며 지속적인 업데이트를 통해 진화하고 있으므로 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 11] TACHYON Internet Security 5.0 진단 및 치료 화면