스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)

최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다.

최근 ASEC 통계

주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다.

악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러 및 RAT 악성코드들이 있다. 다음은 유포에 사용된 스팸 메일 사례이며, 아래와 같이 전형적인 견적 / 구매 관련 메일로 위장한 것들이 다수이다.

스팸 메일 사례 1
스팸 메일 사례 2
스팸 메일 사례 3

닷넷 악성코드들은 빌더를 이용해 생성된 악성코드에 대한 파일 진단을 회피하고, 또한 분석을 방해하기 위한 목적으로 난독화를 수행한다. 다음은 난독화된 함수들이며, 왜 이 악성코드가 Snake Keylogger로 이름 붙여졌는지를 알 수 있다.

Snake Keylogger의 난독화된 함수들

참고로 Snake Keylogger는 작년 말부터 유포가 확인되기 시작하였지만, 그 이전 2020년 중순 경부터 유포되고 있던 Matiex Keylogger와 거의 동일한 형태이다. 기능 및 루틴, 함수명들 대부분이 동일하며 단지 난독화된 함수명에서 Snake 문자열 대신 Matiex가 사용되는 점이 차이점이다. 다음은 Matiex Keylogger의 난독화된 함수들이다.

Matiex Keylogger의 난독화된 함수들

Matiex Keylogger는 다음과 같이 개발자가 해킹 포럼 사이트에서 다양한 기능들을 광고했던 이력을 확인할 수 있다.

해킹 포럼에 올린 광고

최근 2021년 2월 1일에는 소스 코드 판매 게시글을 올리기도 했다. 하지만 Snake Keylogger라는 이름의 악성코드가 확인되기 시작한 것은 작년 말이기 때문에 Matiex Keylogger를 구매한 공격자가 이를 수정하여 유포하는 것은 아닌 것으로 보인다. 물론 이미 소스 코드 판매를 시작했거나, Snake Keylogger가 Matiex Keylogger의 새로운 버전일 수도 있다.

소스 코드 판매 글

Snake Keylogger 또는 Matiex Keylogger는 수십 여 가지의 웹 브라우저 및 이메일 클라이언트 그리고 FTP 클라이언트 등 다양한 프로그램들의 사용자 계정 정보를 탈취할 수 있다. 이외에도 스크린샷, 클립보드, 마이크, 키로깅 기능을 활성화하여 주기적으로 사용자의 개인 정보를 전달받을 수 있다. 함수 이름은 최근 코로나 바이러스의 흐름에 맞춰 “COVID” 키워드를 붙인 것이 특징이다.

정보 유출 대상

전달받는 방식도 다양한데, 현재 유포되고 있는 악성코드들을 보면 대부분 SMTP 즉 메일을 이용해 탈취한 정보를 공격자에게 전달한다. 하지만 전달 방식으로 SMTP 외에도 FTP, Telegram, Discord와 같은 4가지의 옵션이 제공된다.

정보 유출 옵션

Snake Keylogger 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
– Malware/Win32.RL_Generic.C4174185 (2020.08.01.01)
– Trojan/Win.Generic.C4407755 (2021.04.09.01)

[행위 진단]
– Malware/MDP.Behavior.M3108

[IOC]
bbebe99bf36cb3dc4c3c37a9487468ac
ㄴ SMTP 서버 : mail.minioninvest[.]com
ㄴ User : support@minioninvest[.]com
ㄴ Password : uche***08
ㄴ Receiver : support@minioninvest[.]com
f3f7d01818ca5056ccc76bdd38dc540f
ㄴ SMTP 서버 : smtp.synholding.com
ㄴ User : dkasparek@synholding[.]com
ㄴ Password : iLrr*W***6
ㄴ Receiver : dkasparek@synholding[.]com

3.5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments