디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드 유포

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 정보 탈취 악성코드가 유포 중인 것을 확인하였다. 디스코드를 통해 유포되는 해당 악성코드는 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달한다. 참고로 디스코드를 이용해 유포되는 방식은 기존에도 소개된 바가 있다.

디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드 – ASEC BLOG

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 RAT (Remote Administration Tool) 악성코드들이 유포 중인 것을 확인하였다. 현재 해당 악성코드들을 다운로드하는 다운로더 악성코드가 “야동 링크.exe”라는 이름으로 유포 중이며 이 악성코드가 실행될 경우 외부에서 RAT 악성코드들을 다운로드하고 설치한다. 디스코드(Discord)는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원해 주기 때문에 주로…

악성코드를 유포하는 디스코드 서버는 다음과 같이 불법 성인물을 판매 및 유통하는 곳이다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 “무료야동” 채널에 압축 파일을 업로드하고 사용자들의 실행을 유도한다.

run_2.zip 압축 파일을 풀면 run.exe 실행 파일을 확인할 수 있으며, 이것이 닷넷으로 개발된 실제 악성코드이다. 해당 악성코드는 현재 시간을 구하여 2021년 6월 21일 오후 9:29:57 이후에 실행될 경우에는 예외를 발생시키고 종료된다. 만약 이 날짜보다 이전에 실행될 경우에는 악성 행위를 수행한다.

가장 처음으로 하는 행위는 정상 프로세스인 regasm.exe를 실행하고 내부에 인코딩해서 가지고 있던 악성코드를 디코딩 및 인젝션하는 것이다. 일반적으로 국내에 유포되는 악성코드들은 njRAT과 같은 RAT 악성코드가 다수이지만, 공격자는 이러한 악성코드 대신 WebBrowserPassView라는 웹 브라우저 계정 정보 탈취에 사용되는 NirSoft의 유틸리티를 악용한다.

WebBrowserPassView는 기본적으로는 GUI 프로그램이지만, 실행 시 인자로 /stext 및 경로명을 전달하면 사용자가 인지하기 힘들게 커맨드라인으로 동작할 수 있다. 즉 아래와 같이 “/stext data.dll” 인자를 주었다는 것은 사용자 인지 없이 현재 시스템의 웹 브라우저들에 대한 계정 정보를 탈취한 후 결과 텍스트 파일을 동일 경로에 data.dll이라는 이름으로 생성하라는 명령이다.

이후 사용자의 디스코드 Token을 탈취한다. 이를 위해 다음과 같은 폴더 경로에서 .ldb 또는 .log 파일로 끝나는 파일들을 읽어 토큰 키워드를 찾는다.

\AppData\Roaming\discord\Local Storage\leveldb
\AppData\Roaming\discordptb\Local Storage\leveldb
\AppData\Roaming\discordcanary\Local Storage\leveldb
\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb
\AppData\Local\Naver\Naver Whale\User Data\Default\Local Storage\leveldb
\AppData\Roaming\Opera Software\Opera Stable\Local Storage\leveldb
\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
\AppData\Local\Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

이렇게 획득한 토큰은 현재 시스템의 사용자 이름과 함께 디스코드 WebHook API를 통해 공격자에게 전달한다. WebHook API를 이용하면 공격자의 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉 다음과 같은 URL에 대해 정보와 함께 POST 요청 시 공격자는 알림과 함께 탈취한 정보를 전달받을 수 있다. 참고로 여기에 사용되는 URL 즉 공격자의 WebHooks ID 및 Token은 다음과 같다.

hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x

감염된 사용자의 디스코드 토큰을 전달한 후에는 이제 앞에서 구했던 탈취한 웹 브라우저의 계정 정보 즉 data.dll 파일을 전달한다. 이때는 사용자 이름, IP 주소, OS 정보, CPU 코어 개수, PC 이름과 함께 파일 형태로 전달한다.

이렇게 탈취한 정보들을 모두 전달한 후에는 웹 브라우저 계정 정보가 담긴 data.dll 파일을 삭제하고 종료한다.

공격자는 불법 성인물을 공유하는 디스코드 서버에서 정보 탈취 악성코드를 무료 성인물로 위장하여 유포하고 있으며, 이렇게 유포되는 악성코드 또한 디스코드를 악용하여 탈취한 정보를 공격자에게 전달한다. 사용자들은 이러한 불법 동영상들에 대한 공유 행위가 불법이라는 것을 숙지하여야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
– Trojan/Win.Generic.C4518741 (2021.06.08.03)

[행위 진단]
– Malware/MDP.Inject.M3134

[IOC]
– 정보 탈취 악성코드 : 982c55aed3a44155f3c6830fb57b02fa
– WebBrowserPassView : 053778713819beab3df309df472787cd
– 디스코드 WebHooks API : hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x