상세 컨텐츠

본문 제목

Mars Stealer 악성코드, 구글의 OpenOffice 광고 통해 푸시돼

국내외 보안동향

by 알약4 2022. 3. 30. 09:00

본문

Mars Stealer malware pushed via OpenOffice ads on Google

 

새로이 출시된 인포 스틸러인 Mars Stealer의 인기가 증가하고 있는 것으로 나타났습니다. 전문가들은 해당 악성코드를 사용한 대규모 캠페인을 처음으로 발견했다고 밝혔습니다.

 

Mars Stealer 2020년 개발을 중단한 Oski 악성코드를 재설계한 것이며, 다양한 앱을 노리는 광범위한 정보 탈취 기능을 탑재했습니다.

 

Mars Stealer는 해킹 포럼에서 다소 저렴한 가격인 $140 ~ $160에 판매한다고 홍보되었으며, Raccoon Stealer가 갑작스럽게 중단되어 사이버 범죄자들이 대안을 찾아야 할 때까지 천천히 성장해왔습니다.

 

Mars Stealer의 서비스는 Raccoon과 유사하게 운영되고 있기 때문에, 수 많은 신규 사용자가 유입되어 앞으로 발생할 신규 캠페인 다수의 발판이 될 예정입니다.

 

 

<이미지 출처: https://blog.morphisec.com/threat-research-mars-stealer>

<수 많은 새로운 요청을 받고 있는 Mars Stealer의 개발자>

 

 

Morphisec의 위협 분석가는 이 새로운 캠페인 다수를 발견했으며, 그 중 하나는 사용 방법을 포함한 해당 악성코드의 크랙 버전을 사용했다고 밝혔습니다.

  

OpenOffice 캠페인

 

Morphisec이 발견한 새로운 Mars Stealer 캠페인은 Google Ads 광고를 통해 캐나다 검색 결과에서 복제된 OpenOffice 사이트를 검색 순위권에 띄웠습니다.

 

 

<이미지 출처 : https://blog.morphisec.com/threat-research-mars-stealer>

<악성 광고로 오염된 Google 검색 결과>

 

 

OpenOffice는 한때 인기 있었던 오픈 소스 오피스 제품군으로 현재는 Apache 재단에서 관리합니다. 하지만 지금은 2010년 포크백으로 시작된 LibreOffice에 추월 당했습니다.

 

그러나 OpenOffice는 여전히 무료 문서 및 스프레드시트 편집기를 찾는 사용자들 덕분에 상당한 일일 다운로드 수를 기록하고 있습니다.

 

공격자들이 훨씬 더 인기 있는 LibreOffice를 복제하지 않은 이유는 수 많은 제보로 악성 광고가 신속하게 제거될 것을 우려한 것으로 보입니다.

 

 

<이미지 출처 : https://blog.morphisec.com/threat-research-mars-stealer>

<악성 사이트와 실제 사이트>

 

 

가짜 사이트의 OpenOffice 설치 프로그램은 실제로는 Babadeda 크립터나 Autoit 로더가 포함된 Mars Stealer 실행 파일이었습니다. 따라서 피해자는 자신도 모르는 사이에 감염될 수 있었습니다.

 

하지만 크랙 버전에 함께 포함된 구성 방법 오류 때문에, 운영자는 피해자의 '로그' 디렉토리를 노출시켜 모든 방문자에게 전체 액세스 권한을 부여했습니다.

 

로그는 인포 스틸링 트로이 목마가 훔쳐 공격자의 명령 및 제어 서버에 업로드된 데이터를 포함하는 zip 파일입니다.

 

 

<이미지 출처 : https://blog.morphisec.com/threat-research-mars-stealer>

<훔친 데이터(로그)를 저장하는 디렉토리>

 

  

Mars Stealer가 해당 캠페인에서 훔친 정보는 브라우저 자동 양식 채움 데이터, 브라우저 확장 데이터, 신용 카드, IP 주소, 국가 코드, 시간대가 포함된 것으로 보입니다.

 

공격자는 디버깅 중 자신의 Mars Stealer 복사본에 감염되었기 때문에, 그들의 민감한 정보 또한 노출되었습니다.

 

이러한 실수로 인해 연구원들은 해당 공격이 러시아어를 구사하는 사용자의 소행으로 추정했으며 공격자의 GitLab 계정, Google Ads 비용을 지불하는 데 사용된 훔친 크리덴셜 등을 발견할 수 있었습니다.

 

암호화 자산에 대한 위협

 

Mars Stealer 47개 이상의 다크넷 사이트와 해킹 포럼, 텔레그램 채널, 크랙 팩과 같은 "비공식" 배포 경로에서 홍보되고 있는 현재 증가 중인 위협입니다.

 

Morphisec은 해당 인포 스틸러의 운영자가 가상 화폐 자산을 집중적으로 노리고 있다고 밝혔습니다.

 

 

<이미지 출처 : https://blog.morphisec.com/threat-research-mars-stealer>

<단일 캠페인 운영자의 훔친 로그 요약>

 

 

분석된 캠페인에서 가장 많이 도난당한 브라우저 플러그인은 MetaMask이며 Coinbase Wallet, Binance Wallet, Math Wallet이 그 뒤를 이었습니다. 이들은 모두 암호화폐 자산 관리를 위한 "" 월렛입니다.

 

연구원들은 캐나다의 의료 인프라 제공업체의 크리덴셜 또한 발견했으며, 일부 유명 캐나다 서비스 회사에서 해킹의 징후를 발견했습니다.

 

인포 스틸러를 피하려면 Google Ad 결과가 아닌 공식 사이트를 클릭하고, 실행하기 전 안티바이러스 프로그램을 통해 다운로드한 실행 파일을 항상 스캔해야 합니다.

 

새로운 Mars Stealer 맬웨어에 대한 자세한 기술 정보는 3xp0rt 분석에서 확인하실 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Spyware.Pwstealer.Gen’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-ads-on-google/

https://blog.morphisec.com/threat-research-mars-stealer (IOC)

https://3xp0rt.com/posts/mars-stealer (IOC)

관련글 더보기

댓글 영역