새로운 NitroHack 악성코드, 계정 탈취 위해 Discord 수정

Discord modified to steal accounts by new NitroHack malware

프리미엄 Discord Nitro 서비스를 무료로 사용할 수 있는 핵으로 위장한 새로운 악성코드가 배포되고 있습니다. 

이 악성코드는 다양한 브라우저에 저장된 사용자의 토큰, 신용 카드 정보를 훔치고 다른 사용자에게 확산되려고 시도합니다.

Discord와 같은 개방형 플랫폼을 사용하면 클라이언트가 사용하는 JavaScript 파일을 쉽게 수정할 수 있습니다. 

공격자는 악성 행위를 위해 클라이언트를 수정하려는 목적으로 이를 흔히 악용합니다.

새로운 악성코드인 NitroHack은 위와 같이 클라이언트를 수정하여 Discord 사용자 토큰, 저장된 신용카드 정보를 훔치고 Discord 다이렉트 메시지를 통해 사용자의 친구에게 악성코드를 유포합니다.

악성코드, Discord 클라이언트를 트로이목마로 변경해

지난주, MalwareHunterTeam은 윈도우 Discord 클라이언트를 계정을 훔치는 트로이목마로 둔갑시키는 NitroHack이라는 새로운 악성코드를 발견했습니다.

이 악성코드는 Discord의 다이렉트 메시지를 통해 감염된 사용자의 친구들에게 배포되고 있습니다. 메시지는 프리미엄 Discord Nitro 서비스를 무료로 사용하는 방법이라고 이를 홍보하고 있었습니다.

사용자가 해당 파일을 다운로드 및 실행하면 NitroHack은 %AppData%\\Discord\0.0.306\modules\discord_voice\index.js 파일을 수정하고 악성코드를 맨 아래에 덧붙일 것입니다. 

또한 이는 Discord Canary 및 Discord Public Test Build 클라이언트의 동일한 JavaScript 파일을 변경하려고 시도합니다.

<Discord 클라이언트 수정>

<이미지 출처: https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/>

아래 원본 discord_voice\index.js 파일과 수정된 악성 버전을 비교하면 어떤 부분이 변경되었는지 확인하실 수 있습니다.

 

<원본 JS 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/>

<수정된 index.js 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/>

악성코드는 클라이언트를 수정하여 지속성을 얻고 피해자가 Discord 클라이언트를 시작할 때마다 피해자의 토큰을 공격자의 Discord 채널로 전송할 것입니다.

공격자는 훔친 사용자 토큰을 사용하여 피해자의 계정으로 Discord에 로그인하는 것이 가능합니다.

NitroHack은 토큰을 훔치기 위해 Chrome, Discord, Opera, Brave, Yandex Browser, Vivaldi, Chromium의 브라우저 데이터베이스를 복사하여 Discord 토큰을 찾습니다. 

이 작업이 완료되면 발견한 토큰 목록이 공격자의 Discord 채널에 포스팅됩니다.

<저장된 토큰 탈취>

<이미지 출처: https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/>

이들은 웹을 통해 로그인한 사용자에 대한 악성 공격을 수행합니다.

이 악성코드는 신용 카드를 훔치기 위해 https://discordapp.com/api/v6/users/@me/billing/payment-source URL에 연결하여 저장된 지불 정보를 받아오려 시도합니다.

이후 피해자의 모든 Discord 친구 목록을 가져와 Discord 유료 서비스 핵으로 위장한 파일로 이어지는 링크를 포함한 다이렉트 메시지를 보냅니다.

<피해자가 DM를 통해 악성코드를 배포하도록 함>

<이미지 출처: https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/>

이 악성코드는 지속성, 자동 확산, 크리덴셜 탈취 등과 같은 수법을 통해 수많은 피해자를 빠르게 양산해 내는데 꽤 효과적입니다.

불행히도 이와 유사한 Discord 악성코드는 더욱 흔해지고 있습니다.

지난달 악성 행위를 위해 Discord 클라이언트를 변조하는 새로운 AnarchyGrabber 악성코드의 버전이 발견되었습니다.

대부분의 사람들은 그들의 코드가 변조되었는지 조차 알아채지 못하기 때문에, Discord 변조 악성코드는 더욱 효과적입니다.

악성코드가 다양한 활동을 수행하고 클라이언트를 감염시키고 다시 실행되지 않는다면 악성코드 정의가 업데이트되더라도 이를 탐지하지 못할 수 있습니다.

안티바이러스 소프트웨어가 NitroHack 실행파일을 탐지하더라도 클라이언트 변조를 탐지하는 것은 어려우며 새로운 Discord 업데이트로 덮어쓰기 될 때까지 계속해서 실행될 것입니다.

Discord 클라이언트가 감염되었는지 확인하는 방법

이 공격에 영향을 받았는지 확인하고자 할 경우, 메모장으로 

%AppData%\\Discord\0.0.306\modules\discord_voice\index.js 파일을 오픈해 파일의 끝에 변동 사항이 없는지 확인하시면 됩니다.

변조되지 않은 일반적인 파일은 끝 줄이 아래와 같이 나타날 것입니다.

module.exports = VoiceEngine;

이 문자열 이후에 다른 문자열이 추가되어 있을 경우, 직접 수정한 것이 아닌 이상 클라이언트가 감염되었을 가능성이 높습니다.

NitroHack을 제거하는 유일한 방법은 index.js에서 문제 코드를 제거하는 것입니다. 수동으로 제거하시거나 Discord 클라이언트를 언인스톨 후 재설치 하면 해결됩니다.

출처:

https://www.bleepingcomputer.com/news/security/discord-modified-to-steal-accounts-by-new-nitrohack-malware/