분석 정보/악성코드 분석 정보

구글 광고로 유포되는 Statc Stealer

TACHYON & ISARC 2023. 8. 23. 14:45

공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다.

 

피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다.

 

[그림 1] 유효하지 않은 Dropbox 인증서로 Signing 된 드랍퍼

 

드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기 위한 Expert_PDF.exe 과 추가 페이로드를 다운로드하는 cht_x64.exe 를 생성하고 실행한다.

 

[그림 2] Temp 폴더에 생성된 정상 파일과 악성 다운로더

 

Expert_PDF.exe 가 실행되면 [그림 3]과 같이 정상적인 기능을 가진 프로그램이 실행되어, 사용자가 악성 파일이 몰래 실행되었음을 눈치채지 못하게 한다. 이와 동시에 실행된 cht_x64.exe 는 공격자 서버로부터 정보 탈취 기능을 가진 Statc Stealer 를 다운로드하고 실행한다.

 

[그림 3] PDF 관련 정상 프로그램으로 위장

 

다운로더에 의해 실행되는 Statc Stealer 는 일반적인 정보 탈취형 악성 파일과 마찬가지로 브라우저, 암호 화폐, 메신저와 같이 민감한 개인정보를 가지는 프로그램을 탐색하며, 정보를 수집한다.

 

[표 1] 정보 수집 대상 프로그램

 

이외에도 Chrome 브라우저의 확장 프로그램 중 [2] 와 같이 암호 화폐, 패스워드, 이메일과 관련된 프로그램으로부터 정보를 수집한다.

 

[표 2] 정보 수집 대상 Chrome 확장 프로그램

 

수집된 정보는 암호화된 채 일시적으로 텍스트 파일로 저장된다. 이렇게 저장된 텍스트 파일은 악성 파일 프로세스에 의해 직접 공격자 서버로 전달되지 않고, Powershell Invoke-WebRequest 기능에 의해 전달된 후 삭제된다.


[그림 4] 탈취된 데이터(위)이 암호화된 모습(아래)

 

과거의 피싱 사이트 링크는 파일 공유 사이트와 같이 신뢰도가 낮은 곳을 중심으로 유포되었던 반면, 최근에는 점차 일반인들에게 신뢰받는 사이트에 유포되고 있다. 따라서 출처가 불분명한 파일은 다운로드해선 안 되며, 다운로드 시에는 공식 홈페이지를 통해야 한다.

 

상기 악성 코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.


[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면