구글독스(Google Docs)를 C2로 활용하는 ACRStealer 인포스틸러

ASEC(AhnLab Security Intelligence Center)에서는 크랙 및 키젠 등의 불법 프로그램으로 위장하여 유포 중인 인포스틸러 악성코드를 모니터링하며, 관련된 동향 및 변화 사항을 Ahnlab TIP(AhnLab Threat Intelligence Platform), ASEC 블로그를 통해 소개하고 있다. 이러한 방식으로 유포되는 악성코드는 오랜 기간 동안 대부분 LummaC2 인포스틸러였으나, 최근 ACRStealer 인포스틸러가 본격적으로 유포되기 시작했다.

그림 1. 크랙 위장 인포스틸러 유포 페이지

ACRStealer는 작년 6월경 최초 유포되었으며, 당시에는 1개 샘플만이 테스트성으로 유포된 정황을 확인했다. 이후 아주 적은 수량으로만 유포되다가 올해부터 유포 수량이 눈에 띄게 늘었다. 2월의 중간 시점에서 1월 샘플 수량과 비슷한 수량이 확인되었으므로, 2월 유포 수량은 대폭 증가할 것으로 보인다.

그림 2. ACRStealer 유포 수량 추이

ACRStealer는 정상 웹 플랫폼 서비스의 특정 페이지를 중간 C2로 활용한다. 이는 같은 방식으로 유포되는 Vidar, LummaC2와 유사한 부분이다. 공격자는 특정 페이지에 Base64 인코딩된 실제 C2 도메인을 기입한다. 악성코드는 해당 페이지에 접속하여 문자열을 파싱한 후 실제 C2 도메인 주소를 얻어 악성 행위를 수행한다. 이러한 기법을 DDR(Dead Drop Resolver)이라 하며, 편의를 위해 해당 목적의 페이지를 ‘중간 C2’로 지칭한다. 과거에는 Steam을 중간 C2로 사용했으나, 최근에는 Google Docs를 사용한 악성코드가 유포되었다. 현재까지 ACRStealer가 중간 C2로 활용한 서비스는 다음과 같다.

• Steam
• telegra.ph
• Google Docs (Form)
• Google Docs (Presentation)

그림 3. 중간 C2로 사용되는 Google Docs (Forms)

그림 4. 중간 C2로 사용되는 Google Docs (Presentation)

기존 인포스틸러들과는 다르게, ACRStealer는 중간 C2를 더 유연하게 사용하는 모습을 보인다. 다양한 플랫폼에 C2 문자열을 삽입하고 있으며, 그 위치 또한 지속적으로 변경되고 있다. 예를 들어, Steam 사례에서 과거에는 페이지의 가시 영역에 C2 문자열 값이 존재했으나, 최근에는 ‘summary’ 항목에 C2 문자열을 삽입하여 웹 브라우저에는 노출되지 않고 페이지 소스에서만 확인이 가능하다. 공격자는 앞으로도 더 다양한 플랫폼을 악용하여 중간 C2로 사용할 것으로 보인다.

그림 5. 과거 샘플의 중간C2 (좌), 최근 유포 샘플의 중간C2(우)

중간 C2로부터 얻은 실제 C2 도메인과 샘플 내부에 하드코딩된 UUID 형식의 식별자를 조합하여 설정 데이터를 다운로드하는 URL을 생성한다. 다운로드되는 설정 데이터는 Base64 및 XOR 암호화되어 있다. 관련 값 정보는 아래와 같으며, 현재까지 변화가 없다.

• 식별자 UUID: f1575b64-8492-4e8b-b102-4d26e8c70371
• 설정 다운로드 URL 형식: https://[C2]/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371
• 설정 데이터 복호화 키: 852149723’\x00′

복호화된 설정 데이터는 다음 그림과 같으며, 탈취 대상 프로그램, 추가 다운로드 악성코드 URL, 탈취 파일 확장자 및 경로, 탈취 대상 확장 프로그램 ID 등의 설정 정보가 담겨 있다.

그림 6. 설정 데이터

C2에서 응답하는 설정 파일에는 브라우저 데이터, 텍스트 파일, 암호화폐 지갑 파일, FTP 서버 정보, 채팅 프로그램 정보, 이메일 클라이언트 정보, 원격 프로그램 정보, 터미널 프로그램 정보, VPN 정보, 패스워드 관리 프로그램 정보, 데이터베이스(DB) 정보, 브라우저 확장 플러그인 정보 등을 탈취하도록 구성되어 있었다. 설정에 따라 수집한 파일은 ZIP 압축하여 C2로 전송한다.

그림 6. 네트워크 행위

분석 당시의 설정 파일을 기준으로 탈취 대상 프로그램 목록은 다음과 같다.

• 브라우저
  Chrome, Chrome SxS, Chrome Beta, Chrome Dev, Chrome Unstable, Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, CocCoc Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, BraveSoftware Brave-Browser, Microsoft Edge, Opera Software Opera Stable, Opera Software Opera GX Stable, Opera Software Opera Neon, Mozilla Firefox, NETGATE Technologies BlackHawk, TorBro, Thunderbird
• 파일
  .txt 파일
• 기타 프로그램
  Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, AnyDesk, FileZilla, Telegram Desktop, Mailbird, eM Client, The Bat!, PMAIL, snowflake-ssh, NordVPN, AzireVPN, purple, WhatsApp, Signal, Zcash, Guarda, WalletWasabi, Bitwarden, NordPass, 1Password, RoboForm, MySQL, Total Commander, Tox, Psi, Psi+, GoFTP, yMail2, FTPInfo, UltraFXP, NetDrive, FTP Now, DeluxeFTP, Opera Mail, FTPGetter, Steed, Sticky Notes, Notezilla, To-Do DeskList, ALFTP, BitKinex, TrulyMail, Pocomail, NppFTP, FTPBox, NovaFTP, GmailNotifierPro, BlazeFtp, Monero
• 브라우저 플러그인 (설정 파일에는 Plugin ID가 기재되어 있으며, 확인 가능한 Plugin ID는 제품 명으로 치환함)
  TON Wallet, MyTonWallet, Tonkeeper, MathWallet, lodccjjbdhfakaekdiahmedfbieldgik, hcflpincpppdclinealmandijcmnkbgn, Hycon Lite Client, fhmfendgdocmcbmfikdcogofphimnkno, kpfopkelmapcoipemfendmdcghnegimn, BNB Chain Wallet, Auro Wallet, nlbmnnijcnlegkjjpcfjclmcfggfefdm, Wombat, NeoLine, iWallet, Polymesh Wallet, Yoroi, Wallet Guard, Temple, TezBox, ICONex, Hana Wallet, MetaMask, Station Wallet, Coin98 Wallet Extension: Crypto ; Defi, hpglfhgfnhbgpjdenjgmdgoeiappafln, Nabox Wallet, Keplr, OneKey, ZilPay, TronLink, ejbalbakoplchlghecdalmeeeajnimhm, kjmoohlgokccodicjjfebfomlbljgfhk, Ronin Wallet, CLV Wallet, hnfanknocfeofbddgcijnmhnfnkdnaad, LeafWallet, Phantom, djclckkglechooblngghdinmeemkbgci, Bitget Wallet, SafePal Extension Wallet, Trust Wallet, flhbololhdbnkpnnocoifnopcapiekdi, kkhmbjifakpikpapdiaepgkdephjgnma, apbldaphppcdfbdnnogdikheafliigcf, ckdjpkejmlgmanmmdfeimelghmdfeobe, iodngkohgeogpicpibpnaofoeifknfdo, hnefghmjgbmpkjjfhefnenfnejdjneog, fpcamiejgfmmhnhbcafmnefbijblinff, egdddjbjlcjckiejbbaneobkpgnmpknp, nihlebdlccjjdejgocpogfpheakkpodb, ilbibkgkmlkhgnpgflcjdfefbkpehoom, oiaanamcepbccmdfckijjolhlkfocbgj, ldpmmllpgnfdjkmhcficcifgoeopnodc, mbcafoimmibpjgdjboacfhkijdkmjocd, jbdpelninpfbopdfbppfopcmoepikkgk, onapnnfmpjmbmdcipllnjmjdjfonfjdm, cfdldlejlcgbgollnbonjgladpgeogab, Blocknative Gas Fee Estimator for Ethereum, Base, Arbitrum, and More, fdfigkbdjmhpdgffnbdbicdmimfikfig, njojblnpemjkgkchnpbfllpofaphbokk, hjagdglgahihloifacmhaigjnkobnnih, RoboForm Password Manager, ljfpcifpgbbchoddpjefaipoiigpdmag, Authenticator, gaedmjdfmmahhbjefcbgaolhhanlaolb, imloifkgjagghnncjkhggdhalmcnfklk, oeljdldpnmdbchonielidgobddffflal, GAuth Authenticator, Bitwarden Password Manager, KeePassXC-Browser, Dashlane, fooolghllnmhmmndgjiamiiodkpenpbb, Keeper® Password Manager, lfochlioelphaglamdcakfjemolpichk, LastPass: Free Password Manager, Browserpass, MYKI Password Manager ; Authenticator, nofkfblpeailgignhkbnapbephdnmbmn, Splikity, CommonKey, Zoho Vault, Adblock Plus, kmmkllgcgpldbblpnhghdojehhfafhro, ibegklajigjlbljkhfpenpfoadebkokl, ijpdbdidkomoophdnnnfoancpbbmpfcn, llalnijpibhkmpdamakhgmcagghgmjab, mjdmgoiobnbombmnbbdllfncjcmopfnc, ekkhlihjnlmjenikbgmhgjkknoelfped, jngbikilcgcnfdbmnmnmnleeomffciml, hcjginnbdlkdnnahogchmeidnmfckjom, ogphgbfmhodmnmpnaadpbdadldbnmjji, hhmkpbimapjpajpicehcnmhdgagpfmjc, ojhpaddibjnpiefjkbhkfiaedepjheca, fmhjnpmdlhokfidldlglfhkkfhjdmhgl, gjhohodkpobnogbepojmopnaninookhj, hmglflngjlhgibbmcedpdabjmcmboamo, eklfjjkfpbnioclagjlmklgkcfmgmbpg, jbkfoedolllekgbhcbcoahefnbanhhlh, OKX Wallet, jbdaocneiiinmjbjlgalhcelgbejmnid, blnieiiffboillknjnepogjhkgnoapac, cjelfplplebdjjenllpjcblmjkfcffne, fihkakfobkmkjojpchpfgcmhfjnmnfpi, Enkrypt: ETH, BTC and Solana Wallet, nanjmdknhkinifnkgdcggcfnhdaammmj, nkddgncdjgjfcddamfgcmfnlhccnimig, Rabby Wallet, Pontem Crypto Wallet, efbglgofoippbgcjepnhiblaibcnclgk, Nami, Petra Aptos Wallet, Sui Wallet, Exodus Web3 Wallet, SubWallet – Polkadot Wallet, mopnmbcafieddcagagdcbnhejhlodfdd, Talisman Wallet, hifafgmccdpekplomjjkcfgodnhcellj, ijmpgkjfkbfhoebgogflfebnmejmfbm, lkcjlnjfpbikmcmbachjpdbijejflpcm, onofpnbbkehpmmoabgpcpmigafmmnjh, Cyano Wallet, Byone, infeboajgfhgbjpjbeppbkgnabfdkdaf, UniSat Wallet, Zerion, enabgbdfcbaehmbigakijjabdpdnimlg, Fluvi Wallet, Fuelet Wallet | Fuel, Leo Wallet, Leap Cosmos Wallet, Venom Wallet, Argent X, Braavos, Shell Wallet, Cirus, Sender Wallet, Pali Wallet, Fewcha Move Wallet, MultiversX Wallet, Leather, Carax Wallet, Backpack, Pockie Wallet, Koala Wallet, odpnjmimokcmjgojhnhfcnalnegdjmdn, BlockWallet, Gate Wallet, Suiet | Sui Wallet, mcbigmjiafegjnnogedioegffbooigli, Nightly, heefohaffomkkkphnlpohglngmbcclhi, ocjdpmoallmgmjbbogfiiaofphbjgchh, Ctrl Wallet, Typhon Wallet, Eternl, Lace, Kerberus Sentinel3, Alby, Xverse Wallet, OsmWallet, EVER Wallet, KardiaChain Wallet, odbfpeeihdkbihmopkbjmoonfanlbfcl, Oxygen, aodkkagnadcbobfpggfnjeongemjbjca, MultiversX Wallet, Keeper Wallet, Solflare Wallet, Goby, Coinhub, kppfdiipphfccemcignhifpjkapfbihd, Glass wallet | Sui wallet, Compass Wallet for Sei, HAVAH Wallet, Magic Eden Wallet

불법 소프트웨어로 위장하여 다양한 인포스틸러 악성코드가 활발히 유포되고 있다. 불법 소프트웨어 사용을 지양해야 하며, 신뢰할 수 없는 페이지에서 다운로드한 파일은 주의가 필요하다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.