인포스틸러 공격자들이 수익을 얻는 방식

인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다.

2022년 3분기 ASEC 리포트에 따르면, 인포스틸러는 실행 파일 포맷 기준 고객사로부터 접수되거나 수집된 악성코드 유형 중 절반이 넘는 수를 차지하고 있다. 다운로더 유형의 악성코드들도 실질적으로 인포스틸러나 백도어 유형의 악성코드들을 설치하기 때문에 유포되는 수량으로 따지자면 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다고 할 수 있다.[1]

[그림 1] 2022년 3분기 악성코드 현황

일반적으로 인포스틸러는 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의 다운로드 페이지로 위장한 악성 사이트를 유포 경로로 하거나 스팸 메일의 첨부 파일을 통해 유포된다. 다음은 2022년 3분기에 확인된 인포스틸러 악성코드들의 비율이다. AgentTesla, Formbook, Lokibot, SnakeKeylogger는 주로 스팸 메일의 첨부 파일을 통해 유포되며, RedLine이나 CryptBot, Vidar는 크랙이나 정상 프로그램을 위장한 악성 사이트에서 다운로드되는 방식으로 유포된다. 물론 국내 환경 기준 Vidar는 LockBit 랜섬웨어와 함께 스팸 메일의 첨부 파일로 유포되는 경우도 확인되고 있다.

[그림 2] 2022년 3분기 인포스틸러 현황

인포스틸러를 유포하는 공격자들은 감염 시스템들에서 수집한 계정 정보를 방식으로 악용할 수 있다. 예를 들어 계정 정보를 포함한 다양한 사용자 정보들을 공격에 직접 이용하거나 딥웹에 판매하여 다른 공격자들이 이용할 수도 있다. 탈취 대상이 기업의 사용자일 경우에는 기업 네트워크 침투에 이용될 수도 있고 수집한 메일 목록들을 이용해 또 다른 스팸 메일 공격에 사용할 수도 있다.

여기에서는 최근 인포스틸러 악성코드에 감염된 이후 공격자로부터 수신된 협박 메일을 소개한다. 인포스틸러 감염은 12월 7일 수요일 경에 이루어진 것으로 보이며, 공격자는 12월 23일 금요일에 인포스틸러에 감염되어 계정이 탈취당한 사용자에게 다음과 같은 메일을 보냈다.

[그림 3] 공격자가 보낸 협박 메일

사용자의 컴퓨터 이름과 함께 “Gained access to your device..”라는 제목으로 발송하였으며, 본문에는 탈취한 계정 정보 즉 비밀번호들의 목록이 존재한다. 이외에도 2개의 파일들이 첨부되어 있는데, PDF 문서 파일과 JPG 그림 파일이다. JPG 그림 파일은 감염 당시 악성코드가 캡쳐한 스크린샷으로 추정되며 본인이 피해자 PC를 장악했다는 점을 알리기 위한 것으로 추정된다. 실제 스크린샷을 보면 웹 브라우저를 이용해 네이버에서 인터넷 기사를 보는 화면이 그대로 캡쳐되어 있다.

[그림 4] 인포스틸러 감염 당시 스크린샷

참고로 감염 직후 스크린샷을 캡쳐하여 C&C 서버에 전송하는 기능은 대부분의 인포스틸러 악성코드들이 지원하는 기능이다. 구체적으로 AgentTesla[2]나 SnakeKeylogger[3], RedLine[4] 스틸러는 옵션이 활성화되어 있을 경우 주기적으로 스크린샷을 캡쳐하여 C&C 서버에 전송한다. 이외에도 Formbook[5]도 탈취 대상 정보에 스크린샷이 포함되어 있다.

PDF 첨부 파일을 확인해 보면 사용자를 협박하여 비트코인을 보내도록 하는 내용이 담겨 있다. 본문은 현재 컴퓨터를 해킹하였고 계정 정보를 탈취하였으며 오랫동안 주시하고 있다는 내용으로 시작한다. 그리고 수집한 정보를 이용해 음란물를 제작하여 이메일 및 SNS를 통해 지인에게 보낼 수 있다는 협박과 함께, 원하지 않을 경우 1200 달러를 공격자의 비트코인 지갑 주소로 보내라는 지시가 담겨있다.

[그림 5] PDF 본문 – 1

그리고 48시간 안에 지불할 경우 수집한 정보와 설치한 악성코드를 삭제할 것이라는 사실과 함께 다음부터는 의심스러운 사이트에 방문하지 말 것을 충고하는 것으로 마무리된다.

[그림 6] PDF 본문 – 2

참고로 해당 지갑 주소를 검색한 결과 아직까지는 거래 내역이 확인되지 않고 있다. 하지만 PDF 본문 내용을 검색해 보면 다수의 검색 결과가 나오는 것으로 보아 공격자는 오래전부터 이런 협박을 계속해온 것으로 추정된다. 실제 검색 결과에서 확인된 지갑 주소의 경우 다음과 같이 거래 내역이 확인되기도 한다.

[그림 7] 다른 공격에서 사용된 비트코인 지갑 주소의 거래 내역
  • 공격자의 비트 코인 지갑 주소 : bc1qerarqnkt0jwq0zn3z7tn7zgerkpq7k6lqrqsw8

사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments