상세 컨텐츠

본문 제목

새로운 ZingoStealer 인포스틸러, 더 많은 악성코드와 크립토마이너 드롭해

국내외 보안동향

by 알약4 2022. 4. 15. 09:00

본문

New ZingoStealer infostealer drops more malware, cryptominers

 

새로운 인포 스틸러인 ZingoStealer가 강력한 데이터 도용 기능 및 추가 페이로드를 로드하고 모네로를 채굴할 수 있는 기능을 가진 것으로 나타났습니다.

 

이 새로운 악성코드는 최근 소스코드를 500달러에 판매하려 시도한 "Haskers Gang"이라는 공격자 그룹이 무료로 개발 및 배포했습니다.

 

Cisco Talos의 연구원이 해당 광고를 발견한 직후, ZingoStealer는 개발을 맡을 새로운 공격자에게 이를 넘겼습니다.

 

공격자들은 텔레그램과 디스코드 채널 모두에서 이 인포 스틸러를 무료로 배포하고 있습니다. 이러한 유형의 악성코드에 대한 수요가 증가하고 있기 때문에, 배포 또한 매우 활발해질 가능성이 있습니다.

 

공격적인 악성코드

 

ZingoStealer 2022 3월 사이버 범죄 커뮤니티에 처음으로 등장했으며, 러시아어를 사용하는 채널에서 "즉시 사용 가능한" .NET 실행 파일 형태의 강력한 인포 스틸러라 홍보되었습니다.

 

 

사용자는 현재 환율로 약 3.64달러 수준인 300루블로 업그레이드된 AV 탐지 회피를 위해 암호 난독화(ExoCrypt를 통해) 기능이 있는 옵션을 구입하는 것도 가능합니다.

 

지금까지 ZingoStealer는 소프트웨어 크랙 및 유튜브의 비디오 게임 치트 광고를 통해 확산되었지만, 앞으로의 감염 경로는 언제든지 다양해질 수 있습니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html>

<ZingoStealer를 배포하는 CSGO 치트 광고 유튜브>

 

 

이는 아래의 앱과 데이터 포인트를 노리는 강력한 악성코드입니다.

 

웹 브라우저: 구글 크롬, 모질라 파이어폭스, 오페라, 오페라 GSX

가상화폐 지갑 확장: TronLink, Nifty Wallet, MetaMask, MathWallet, Coinbase Wallet, Binance Wallet, Brave Wallet, Guarda, EQUAL Wallet, BitApp Wallet, iWallet, Wombat – 게임용 지갑

가상화폐 지갑 데이터: Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi

가상화폐 지갑: 비트코인, 대시, 라이트코인

컴퓨터 정보: IP 주소, 컴퓨터 이름, 사용자 이름, OS 버전, 현지화 정보, 프로세서 정보, 시스템 메모리, 화면 해상도, 시작 시간

 

훔친 모든 정보는 "C:\Users\AppData\Local\GinzoFolder" 폴더에서 압축되어 운영자의 서버로 유출됩니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html>

<ZIP 파일 추출>

 

 

타깃 목록이 다소 광범위해 보일 수 있지만, 더욱 널리 알려진 다른 정보 인포 스틸러인 RedLine Stealer의 타깃 목록에 비하면 적은 수준입니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html>

<두 인포 스틸러 비교>

 

 

ZingoStealer는 시스템의 지리적 위치를 확인해 피해자가 CIS 국가에 있지 않은지 확인합니다. 이 전략은 러시아어를 구사하는 공격자가 자주 사용합니다. 이후 더 많은 페이로드를 받아와 실행하기 위한 URL 목록을 요청합니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html>

<2단계 페이로드 목록 받아오기>

 

 

이외에도 ZingoStealer XMRig 가상화폐 채굴 악성코드를 제공해 피해자의 컴퓨터에서 직접적인 이익을 창출하려 시도합니다.

 

이 기능은 최근 버전에 추가되었으며 PowerShell을 통해 Windows Defender에서 제외시킨 후 채굴기를 실행합니다.

 

 

<이미지 출처 : https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html>

<ZingoStealer 감염이 증가함에 따라 성장하는 마이닝 풀>

 

 

새로운 악성코드인 ZingoStealer의 향후 전망은 아직까지 확실히 알 수 없지만, 해커가 무료로 제한 없이 배포할 수 있기 때문에 큰 위협이 될 수 있습니다.

 

감염을 피하려면 불법 웹 사이트에서 소프트웨어 크랙 및 게임 치트를 다운로드하지 않는 것이 좋습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Cerbu.134541’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-zingostealer-infostealer-drops-more-malware-cryptominers/

https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html (IOC)

관련글 더보기

댓글 영역