Posted By ,

유튜브를 통해 유포 중인 정보 탈취형 악성코드

ASEC 분석팀은 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것을 확인하였다. 공격자는 발로란트 게임 핵을 위장하여 다음과 같은 동영상을 업로드하였으며, 아래의 백신을 끄고 설치하라는 설명과 함께 악성코드의 다운로드 링크를 삽입하였다.

[그림 1] 발로란트 게임 핵을 위장한 유튜브 게시글

유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 과거에도 다음과 같은 ASEC 블로그에서 다룬 바 있다.

사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 다음과 같은 다운로드 페이지를 확인할 수 있다.

  • 다운로드 페이지 주소 : hxxps://anonfiles[.]com/J0b03cKexf
  • 파일 다운로드 주소 : hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar
[그림 2] 다운로드 페이지

다운로드된 “Pluto Valornt cheat.rar” 압축 파일에는 “Cheat installer.exe” 실행 파일이 포함되어 있는데 이름은 게임 핵을 위장하고 있지만 실제로는 정보 탈취형 악성코드이다.

해당 악성코드가 실행되면 감염 시스템의 기본 정보들을 포함하여 스크린샷, 웹 브라우저 및 VPN 클라이언트 프로그램들에 저장된 사용자 계정 정보, 가상화폐 지갑 파일들 그리고 디스코드 토큰 및 텔레그램 세션 파일들과 같은 다양한 사용자 정보들을 수집한다. 다음은 탈취 대상 리스트를 정리한 목록이다.

1. 기본 정보
– 컴퓨터 이름, 사용자 이름, IP 주소, 윈도우 버전, 시스템 정보들(CPU, GPU, RAM 등), 프로세스 목록

2. 웹 브라우저
2.1. 대상 웹 브라우저 목록
– 크롬, 엣지, 파이어폭스
2.2. 탈취 정보
– 비밀번호, 신용카드 번호, 자동채움 폼(AutoFill), 북마크, 쿠키

3. 가상화폐 지갑 파일
– Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx

4. VPN 클라이언트 계정 정보
4.1. 대상 VPN 클라이언트 목록
– ProtonVPN, OpenVPN, NordVPN
4.2. 탈취 정보
– 계정 정보

5.기타
5.1. FileZilla
– 호스트 주소, 포트 번호, 사용자 이름, 비밀번호
5.2. 마인크래프트 VimeWorld
– 계정 정보, 레벨, 랭킹 등
5.3. 스팀
– 클라이언트 세션 정보
5.4. 텔레그램
– 클라이언트 세션 정보
5.5. 디스코드
– 토큰 정보

공격자는 위에서 탈취한 정보들을 파일 형태로 생성한 후 압축하여 디스코드 WebHooks API를 통해 공격자에게 전달한다.

[그림 3] 탈취한 데이터들 및 이를 압축한 파일
[그림 4] 탈취한 정보를 정리하는 루틴

WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉 악성코드는 다음과 같은 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부하여 POST 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다. 참고로 악성코드가 사용하는 공격자의 WebHooks URL은 다음과 같이 2개가 사용된다.

  • WebHook URL : hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
    UserAgent : log
    UserName : log
  • WebHook URL : hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42
    UserAgent : logloglog91
    UserName : logloglog91
[그림 5] 디스코드 WebHook을 이용해 탈취한 정보 전달

디스코드의 WebHook API를 이용해 정보를 탈취한 사례는 과거 ASEC 블로그에서도 소개된 바 있다.

이렇게 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드 받는 행위를 지양해야 하며, 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
– Malware/Win.AY.C4396023 (2021.03.29.01)

[IOC]
파일 MD5
– 6649fec7c656c6ab0ae0a27daf3ebb8e

악성코드 다운로드
– 다운로드 페이지 : hxxps://anonfiles[.]com/J0b03cKexf
– 악성 압축 파일 다운로드 주소 : hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar

디스코드 WebHooks URL
– hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
– hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,,,

0 0 votes
별점 주기
Subscribe
Notify of
guest

2 댓글
Inline Feedbacks
View all comments
trackback
안랩 EDR 제품을 통한 정보 탈취형 악성코드 분석 - ASEC BLOG
1 year ago

[…] 유튜브를 통해 유포 중인 정보 탈취형 악성코드 […]

0
Reply
trackback
유튜브 계정들을 해킹해 인포스틸러를 유포하는 공격자들 (Vidar, LummaC2) - ASEC BLOG
24 days ago

[…] 수 있기 때문이다. 이에 따라 공격자들은 과거 2020년부터 RedLine [4], BlackGuard [5], RecordBreaker [6] 등의 인포스틸러 악성코드들을 유포해 […]

0
Reply