[Trojan.MSIL.BluStealer] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

최근 게이밍 등의 목적으로 설계된 VoIP 소프트웨어 중 하나인 ‘디스코드(Discord)’의 채널의 첨부파일을 경유하여 최종적으로 ‘BluStealer’ 이름의 정보 탈취 계열의 악성코드(InfoStealer)가 지속적으로 발견되고 있습니다. 해당 악성코드는 PC 정보 및 주요 애플리케이션의 크리덴셜 정보를 탈취 및 전송하는 기능을 가지고 있습니다.

 

[그림] 애플리케이션 정보 수집 코드 일부

 

‘BluStealer’ 악성코드는 사용자 PC 정보 수집 및 정보 전송 기능을 가진 악성코드입니다. 이번 악성코드에서는 Discord를 C&C로 하는 다운로더가 사용된 점, 정보 수집 및 전송 기능이 분리되어 흐름이 진행된다는 점이 특징적입니다.

 

기업체에서 이러한 유형의 악성코드에 감염 혹은 노출되는 경우, 감염된 임직원을 대상으로 크리덴셜 스터핑 등으로 공격이 이어져 회사 입장에서도 2차 위협에 노출될 수 있어서 주의가 필요합니다.

 

따라서 이 악성코드에서 감염을 예방하기 위해서는 출처가 불분명한 사이트 내에서 URL, 파일 다운로드를 지양해야 합니다.

 

자세한 내용은 보안동향보고서에서 확인하실 수 있으며, 현재 알약에서는 관련 악성코드를 ‘Trojan.MSIL.BluStealer’, ‘Trojan.Downloader.MSIL’로 진단하고 있습니다.