포스팅 내용

악성코드 분석 리포트

가상화폐 지갑 및 브라우저 계정정보 탈취시도 위협 주의


안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 사용자의 주의를 당부 드립니다.


이 악성코드는 [그림1]과 같이 사용자 PC에 있는 가상 화폐의 종류를 확인합니다.(비트 코인을 포함한 총 9개의 가상 화폐 - 비트코인, 라이트코인, 이더리움, 모네로, 스팀 등) 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 보여집니다.


 [그림1] 가상 화폐 종류 확인 코드


가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인하여 시스템 상에 저장된 로그인 ID/PW 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 존재합니다.

 

[그림2] 브라우저 종류 확인 코드


또한 사용자들이 바탕화면에 중요한 정보를 문서파일 형태로 저장해 둔다는 점을 악용하여 문서들 중 확장자가 ‘doc’, ‘docx’, ‘txt’, ‘log’ 일 경우도 C&C 서버(104.27.185.76 - 미국)에 전송을 시도합니다.

 

[그림3] 확장자 확인 코드


[그림4] C&C 서버 전송 코드


-브라우저(Chrome, Yandex, Opera, Kometa, Orbitum, Comodo, Amigo, Torch)의 로그인 ID/PW

-시스템 O/S정보, Hardware ID, 사용자 계정

-Filezilla 접속IP, ID, PW

-바탕화면 캡쳐

-바탕화면 문서들 중 확장자 doc, docx, txt, log 파일들

[표 1] C&C 서버에 전송하는 정보 목록


가상 화폐가 전세계적으로 인기를 끌면서 사이버 범죄자들도 주목하고 있으며, 실제 국내 비트코인 거래소 출금 알림 이메일로 사칭한 피싱 공격, 윈도우 보안 업데이트 안내로 위장한 메일로 비트코인 지갑 탈취 하는 공격이 발견된 바 있는 만큼 피해를 입지 않도록 주의가 필요합니다.


현재 관련 악성코드는 알약에서 ‘Trojan.Banker.MSIL.Evital’ 으로 진단하고 있습니다.







티스토리 방명록 작성
name password homepage