상세 컨텐츠

본문 제목

새로운 Meta 인포 스틸러, 악성 스팸 캠페인에서 배포돼

국내외 보안동향

by 알약4 2022. 4. 11. 09:00

본문

New Meta information stealer distributed in malspam campaign

 

최신 악성 스팸 캠페인이 사이버 공격자 사이에서 인기있는 인포 스틸러 악성코드인 새로운 META 악성코드를 배포하는 것으로 나타났습니다.

 

META Mars Stealer, BlackGuard와 함께 새로운 인포 스틸러 중 하나로, 운영자는 Raccoon Stealer가 운영을 중단한 후 다른 플랫폼을 찾고 있는 사람들을 이용합니다.

 

이 툴은 한 달에 $125, 무제한 $1,000에 판매되고 있으며 RedLine의 개선된 버전이라 광고했습니다.

 

새로운 Meta 악성 스팸 캠페인

 

보안 연구원인 Brad Duncan이 발견한 이 새로운 스팸 캠페인은 META가 공격에 적극적으로 사용되어 Chrome, Edge, Firefox에 저장된 비밀번호와 가상화폐 지갑을 훔치는 데 사용된다는 것을 알 수 있는 증거가 됩니다.

 

이 특정 캠페인의 감염 체인은 이메일 첨부 파일로 시작되며, 매크로가 활성화된 엑셀 스프레드 시트를 사용합니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<발견된 캠페인의 META 감염 체인>

 

 

 

메시지는 딱히 설득력이 있지 않고 잘 작성된 것은 아니지만, 여전히 많은 수신자가 속을 수 있는 자금 이체 관련 미끼를 사용합니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<악성 엑셀 첨부 파일이 포함된 이메일>

 

 

스프레드시트 파일은 백그라운드에서 악성 VBS 매크로를 실행할 수 있도록 "콘텐츠를 활성화"하도록 속이기 위해 DocuSign 관련 미끼를 사용합니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<사용자가 콘텐츠를 활성화하도록 유도하는 DocuSign 미끼>

 

  

악성 스크립트가 실행되면 GitHub을 포함한 사이트 다수에서 DLL 및 실행 파일을 포함한 다양한 페이로드를 다운로드합니다.

 

다운로드한 파일 중 일부는 base64로 인코딩되어 있거나 보안 소프트웨어의 탐지를 우회하기 위해 바이트가 반전되어 있습니다. 예를 들어 아래는 원본 다운로드에서 바이트가 반전된 샘플 중 하나입니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<역 바이트 순서로 저장된 DLL>

 

 

최종 페이로드는 랜덤으로 생성되었을 가능성이 있는 "qwveqwveqw.exe"라는 이름으로 컴퓨터에서 어셈블되며 지속성을 얻기 위해 새 레지스트리 키를 추가합니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<새 레지스트리 키 및 악성 실행 파일>

 

  

시스템이 감염되었음을 확인할 수 있는 명확 징후는 193.106.191[.]162에 있는 명령 및 제어 서버로 트래픽을 생성하는 EXE 파일이며, 이는 시스템이 재부팅된 후에도 감염된 시스템에서 감염 프로세스를 다시 시작합니다.

 

 

<이미지 출처 : https://isc.sans.edu/>

<Wireshark에서 캡처된 악성 트래픽>

 

 

한 가지 주목 할 점은, META PowerShell을 통해 Windows Defender를 수정하여 .exe 파일을 검색에서 제외하고 해당 파일이 검색되지 않도록 보호한다는 것입니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Downloader.XLS.Gen’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/

https://www.malware-traffic-analysis.net/2022/04/06/index.html (IOC)

관련글 더보기

댓글 영역