상세 컨텐츠

본문 제목

가상화폐 지갑에서 돈을 훔치는 InnfiRAT 트로이목마 발견

국내외 보안동향

by 알약(Alyac) 2019. 9. 16. 10:49

본문

InnfiRAT Trojan steals funds from Bitcoin and Litecoin wallets


보안 연구원들이 가상 화폐 지갑 데이터를 훔치기 위해 피해자의 시스템을 감염시키는 새로운 악성코드인 InnfiRAT을 발견했습니다.


InnfiRAT는 사용자 컴퓨터의 개인 정보 탈취를 위해 설계되었으며, 특히 비트코인, 라이트코인 등 가상 화폐 지갑과 관련된 정보를 찾습니다. 


InnfiRAT은 저장된 사용자 계정과 비밀번호, 세션 데이터를 훔치기 위해 브라우저 쿠키를 수집합니다.


그리고 악성코드는 실행 시 파일이 %AppData% 디렉터리에서 실행되는지, 파일 이름이 NvidiaDriver.exe인 상태에서 실행되는지 확인합니다. 


이후 "iplogger[.]com/1HEt47"로 요청을 보내 네트워크 연결을 확인하고, 실행 중인 모든 프로세스를 기록하여 하나라도 NvidiaDriver.exe라는 이름으로 실행되는지 확인합니다.


해당 이름으로 실행된 프로세스가 있다면 그 프로세스를 종료시키고 악성코드 자신도 실행을 종료합니다.


이 악성코드는 Base64로 인코딩된 PE 파일을 메모리에 쓰기 전에 메인 컴포넌트를 실행하기 위해 AppData 디렉터리에서 자기 자신의 복사본을 만듭니다.


그리고 악성코드가 시작되면 보안 연구원들이 악성코드를 분석하는데 사용할 수 있는 가상 환경이 존재하는지 확인합니다. 


이 악성코드는 자신이 샌드박스에서 실행되고 있지 않으면 C&C 서버에 접속해 시스템에서 탈취한 정보를 전송하고 추가 명령을 기다립니다.


InnfiRAT는 사용자 시스템의 데이터 탈취, 브라우저 쿠키 탈취, 오픈 세션 탈취를 위해 추가 페이로드를 배포할 수도 있습니다. 


거기다 이 악성코드는 일반적인 안티바이러스 프로세스를 종료시킬 수도 있습니다.


InnfiRAT은 타깃 시스템에서 비트코인(BTC)과 라이트코인(LTC) 가상화폐 지갑과 관련된 파일을 찾습니다.


※ 가상화폐 지갑관련 정보

- 라이트코인: %AppData%\Litecoin\wallet.dat

- 비트코인: %AppData%\Bitcoin\wallet.dat


그리고 InnfiRAT은 타깃 사용자의 시스템에서 가상화폐 관련 파일이 발견되면 해당 파일의 내용을 빼돌립니다.



<이미지 출처: https://www.zscaler.com/blogs/research/innfirat-new-rat-aiming-your-cryptocurrency-and-more>



연구원들은 보통 사용자가 이메일 첨부파일을 열거나 감염된 애플리케이션을 다운로드해 이와 같은 악성 RAT에 감염된다고 말했습니다.


또한 악성코드 감염을 예방하기 위해서는 신뢰할 수 없는 곳으로부터 프로그램을 다운로드하거나 첨부파일을 여는 것을 삼가야 한다고 전했습니다.


현재 알약에서는 해당 악성코드에 대해 "Trojan.Agent.InnfiRAT"으로 탐지 중에 있습니다.





출처:

https://securityaffairs.co/wordpress/91230/breaking-news/innfirat-malware-cryptocurrency.html

https://www.zscaler.com/blogs/research/innfirat-new-rat-aiming-your-cryptocurrency-and-more

관련글 더보기

댓글 영역