디스코드를 이용한 불법 음란물 위장 인포스틸러 악성코드 유포

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 정보 탈취 악성코드가 유포 중인 것을 확인하였다. 디스코드를 통해 유포되는 해당 악성코드는 탈취한 정보를 디스코드 API를 이용해 공격자에게 전달한다. 참고로 디스코드를 이용해 유포되는 방식은 기존에도 소개된 바가 있다.

악성코드를 유포하는 디스코드 서버는 다음과 같이 불법 성인물을 판매 및 유통하는 곳이다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 “무료야동” 채널에 압축 파일을 업로드하고 사용자들의 실행을 유도한다.

악성코드를 유포하는 불법 성인물 디스코드 채널

run_2.zip 압축 파일을 풀면 run.exe 실행 파일을 확인할 수 있으며, 이것이 닷넷으로 개발된 실제 악성코드이다. 해당 악성코드는 현재 시간을 구하여 2021년 6월 21일 오후 9:29:57 이후에 실행될 경우에는 예외를 발생시키고 종료된다. 만약 이 날짜보다 이전에 실행될 경우에는 악성 행위를 수행한다.

악성 행위 발현을 위한 시간 조건

가장 처음으로 하는 행위는 정상 프로세스인 regasm.exe를 실행하고 내부에 인코딩해서 가지고 있던 악성코드를 디코딩 및 인젝션하는 것이다. 일반적으로 국내에 유포되는 악성코드들은 njRAT과 같은 RAT 악성코드가 다수이지만, 공격자는 이러한 악성코드 대신 WebBrowserPassView라는 웹 브라우저 계정 정보 탈취에 사용되는 NirSoft의 유틸리티를 악용한다.

디코딩된 WebBrowserPassView PE

WebBrowserPassView는 기본적으로는 GUI 프로그램이지만, 실행 시 인자로 /stext 및 경로명을 전달하면 사용자가 인지하기 힘들게 커맨드라인으로 동작할 수 있다. 즉 아래와 같이 “/stext data.dll” 인자를 주었다는 것은 사용자 인지 없이 현재 시스템의 웹 브라우저들에 대한 계정 정보를 탈취한 후 결과 텍스트 파일을 동일 경로에 data.dll이라는 이름으로 생성하라는 명령이다.

WebBrowserPassView 실행에 사용되는 인자

이후 사용자의 디스코드 Token을 탈취한다. 이를 위해 다음과 같은 폴더 경로에서 .ldb 또는 .log 파일로 끝나는 파일들을 읽어 토큰 키워드를 찾는다.

\AppData\Roaming\discord\Local Storage\leveldb
\AppData\Roaming\discordptb\Local Storage\leveldb
\AppData\Roaming\discordcanary\Local Storage\leveldb
\AppData\Local\Google\Chrome\User Data\Default\Local Storage\leveldb
\AppData\Local\Naver\Naver Whale\User Data\Default\Local Storage\leveldb
\AppData\Roaming\Opera Software\Opera Stable\Local Storage\leveldb
\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
\AppData\Local\Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

이렇게 획득한 토큰은 현재 시스템의 사용자 이름과 함께 디스코드 WebHook API를 통해 공격자에게 전달한다. WebHook API를 이용하면 공격자의 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉 다음과 같은 URL에 대해 정보와 함께 POST 요청 시 공격자는 알림과 함께 탈취한 정보를 전달받을 수 있다. 참고로 여기에 사용되는 URL 즉 공격자의 WebHooks IDToken은 다음과 같다.

hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x

토큰 정보 전달

감염된 사용자의 디스코드 토큰을 전달한 후에는 이제 앞에서 구했던 탈취한 웹 브라우저의 계정 정보 즉 data.dll 파일을 전달한다. 이때는 사용자 이름, IP 주소, OS 정보, CPU 코어 개수, PC 이름과 함께 파일 형태로 전달한다.

탈취한 웹 브라우저 계정 정보 전달

이렇게 탈취한 정보들을 모두 전달한 후에는 웹 브라우저 계정 정보가 담긴 data.dll 파일을 삭제하고 종료한다.

탈취한 정보를 공격자에 전달

공격자는 불법 성인물을 공유하는 디스코드 서버에서 정보 탈취 악성코드를 무료 성인물로 위장하여 유포하고 있으며, 이렇게 유포되는 악성코드 또한 디스코드를 악용하여 탈취한 정보를 공격자에게 전달한다. 사용자들은 이러한 불법 동영상들에 대한 공유 행위가 불법이라는 것을 숙지하여야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
– Trojan/Win.Generic.C4518741 (2021.06.08.03)

[행위 진단]
– Malware/MDP.Inject.M3134

[IOC]
– 정보 탈취 악성코드 : 982c55aed3a44155f3c6830fb57b02fa
– WebBrowserPassView : 053778713819beab3df309df472787cd
– 디스코드 WebHooks API : hxxps://discordapp[.]com/api/webhooks/850992968948121641/vOIDbofeitMYkhskGBRl_N-wZTkqd5Pep2MapAwzZ6g4gAKxXMvYt4HzGSQXruBWq_-x

5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
이관섭
이관섭
5 months ago

휴대 폰을 열면 곧바로 남여 sex 전후 이미지가 떠서 남이 볼까 당황된다