Electron으로 제작되어 유포되는 인포스틸러

AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 배포되는데, 공격자는 이를 악성코드에 적용한 것이다. [1]  

사례 #1

악성코드를 실행하면 아래와 같은 폴더 구조의 Electron 애플리케이션이 설치 및 실행된다.

[그림 1] 설치된 Electron 프로젝트 구조  Electron은 node.js로 OS와 상호작용하기 때문에 실제 악성 행위가 정의된 곳은 node.js 스크립트이며, 해당 스크립트는 .asar 파일에 패키징되어 있다.(주로 app\resources 경로에 존재) 따라서 npm asar를 통해 언패키징하여 온전한 코드를 볼 수 있다.

[그림 2] asar 설치 및 언패키징   

[그림 3] 언패키징된 asar 파일  악성 행위는 a.js에 정의되어있으며 내용은 아래와 같다.

[그림 4] 악성 행위가 정의된 스크립트(a.js)   

사례 #2

TeamViewer 관련 파일로 위장한 또 다른 악성코드는 수집한 사용자의 정보를 파일 공유 서비스인 gofile에 업로드 한다.

[그림 5] 사용자 정보 수집 및 업로드  업로드 되는 내용은 시스템 정보, 브라우저 히스토리 및 저장된 ID/PW 정보들이다.

[그림 6] 업로드된 파일 일부  NSIS 인스톨러로 유포되는 악성코드는 NSI 스크립트가 직접 악성코드를 실행하는 것이 일반적이나, 위에서 설명한 사례들은 Electron이라는 구조를 한 번 더 거치기 때문에 진단 관점에서도 사용자 입장에서도 악성코드임을 인지하기 어렵다. 사용자는 게임이나 유틸리티를 사용하고자 할 때 공식 홈페이지에서 제공하는 파일을 사용해야 한다. 

MD5

9926e2782d603061b52d88f83d93e7af

b150afa6b3642ea1da1233b76f7b454e

cfc6e0014b3cc8d4dcaf0d76e2382556