AhnLab Security Emergency response Center(ASEC) 에서는 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 StrelaStealer 가 유포 중인 것을 확인하였다. StrelaStealer 악성코드는 지난 2022년 11월경 처음 발견되었으며, 스팸 메일의 첨부 파일을 통해 유포되고 있다. 첨부 파일에는 ISO 파일이 이용되어 왔으나, 최근에는 ZIP 파일을 이용하고 있다.
유포 중인 이메일은 [그림 1] 과 같다. 해당 메일에서 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있으며, 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다.
첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은 실제 악성 행위를 수행하는 StrelaStealer 로 이메일 계정 정보를 탈취하는 악성코드이다.
실행 시, 먼저 “컴퓨터명”과 “strela” 문자열을 XOR[6자리] 한 값으로 뮤텍스를 생성한다. 이후 Thunderbird 및 Outlook 정보를 수집하게 되는데, 이때 관련 정보가 존재하지 않는 경우 메시지 박스를 생성 후 종료한다.
메시지 박스는 이메일과 동일하게 스페인어로 작성되어 있으며, 파일이 손상되어 실행할 수 없다는 내용이 포함되어 있다. 해당 메시지 박스를 통해 사용자는 손상된 파일로 생각할 수 있어 악성코드가 실행된 것을 인지하기 어렵다.
탈취하는 정보 중 첫번째는 Thunderbird 계정 정보이며, 아래 경로의 파일을 읽어 C2 로 전송한다.
- %AppData%\Thunderbird\Profiles\[프로필이름]\logins.json
- %AppData%\Thunderbird\Profiles\[프로필이름]\key4.db
두번째 탈취 정보는 Outlook 계정 정보로, 아래 레지스트리 값을 읽어 C2 로 전송한다. 추가로, “IMAP Password” 값의 경우 CryptUnprotectData API 를 통해 데이터를 복호화 후 전송한다.
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP Password
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP User
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP Server
탈취한 정보를 전송하는 C2 는 아래와 같으며, 정상적으로 수신되었는지 확인을 위해 응답 값으로 “KH” 문자열을 확인한다.
- C2 – hxxp://91.215.85[.]209/server.php
최근 스페인 사용자들을 대상으로 이메일 계정 정보를 탈취하는 악성코드 유포가 확인되고 있으며 탈취된 정보를 통해 추가 피해가 발생할 수 있어 주의가 필요하다. 사용자는 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.
[파일 진단]
Trojan/Win.Generic.R577470 (2023.05.14.01)
[IOC]
ba5281c2978e426605f4be767898b323
hxxp://91.215.85[.]209/server.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보