최근, Outlook과 Thunderbird 계정을 탈취하는 "Strela Stealer" 악성코드가 발견됐다.
보안 업체 DCSO CyTec은 이 악성코드가 HTML 확장자를 가진 DLL 파일로 내부에 HTML 코드를 포함하고 있으며, 웹 브 라우저와 rundll32.exe를 통해 각각의 코드를 실행한다고 알렸다. 해당 악성코드는 주로 다양한 콘텐츠가 포함된 ISO 파일 을 통해 유포되며, ISO 파일 내부의 악성 LNK 파일을 통해 실행된다고 알려졌다.
악성 LNK 파일을 실행할 경우, 웹 브라우저를 통해 HTML 코드를 실행시켜 의심을 피하기 위한 웹 문서를 띄운다. 이후, "rundll32.exe"로 "StrelaStealer"를 실행해 Outlook과 Thunderbird에서 로그인 데이터를 수집하고 공격자가 운영하는 C&C 서버로 전송한다.
사진출처 : DCSO CyTec
출처
[1] DCSO CyTec (2022.11.08) – ShortAndMalicious: StrelaStealer aims for mail credentials
'최신 보안 동향' 카테고리의 다른 글
인도네시아 BRI 은행의 고객을 대상으로 하는 피싱 캠페인 (0) | 2022.11.21 |
---|---|
PNG 파일을 통해 유포되는 DropBoxControl 인포스틸러 (0) | 2022.11.21 |
스팸 메일을 통해 유포되는 Emotet 악성코드 변종 (0) | 2022.11.16 |
Google Play Store에서 유포되는 Xenomorph 악성 앱 (0) | 2022.11.15 |
Windows 업데이트로 위장한 PowerShell 백도어 (0) | 2022.10.20 |