국내외 보안동향

디스코드 사용자 노리는 TroubleGrabber 악성코드 발견

알약4 2020. 11. 16. 09:00

New TroubleGrabber malware targets Discord users

 

Netskope의 보안 연구원들이 새로운 크리덴셜 스틸러를 발견했습니다. TroubleGrabber라 명명된 이 악성코드는 디스코드(Discord) 첨부파일을 통해 배포되며 디스코드 웹 훅을 사용해 훔친 데이터를 운영자에게 전송합니다.

 

이 악성코드는 AnarchyGrabber  디스코드 게이머를 노리는 다른 악성코드와 기능이 동일하지만, 공격자는 다른 것으로 보입니다.

 

TroubleGrabber“Itroublve”라는 이름을 사용하는 개인이 개발했으며, 현재 여러 공격자들이 이를 사용하고 있습니다.

 

이 악성코드는 드라이브-바이 다운로드 방식으로 배포됩니다. 웹 브라우저 토큰, 디스코드 웹 훅 토큰, 웹 브라우저 비밀번호, 시스템 정보를 훔치는 것도 가능합니다.

 

이 악성코드는 웹 훅을 통해 공격자의 디스코드 서버로 메시지를 보내 훔친 정보를 전달합니다.

 

이 악성코드의 97.8%가 디스코드를 통해 배포된 것으로 나타났습니다. 소수는 사용자들이 무료로 익명으로 파일을 업로드한 후 공개 다운로드 링크를 생성할 수 있는 서비스인 anonfiles.com anonymousfiles.io에서 배포되었습니다.

 

공격자는 700개가 넘는 디스코드 서버 채널 ID를 사용하여 이 인포스틸러를 디스코드 사용자에게 배포했습니다.

 

Netskope의 연구원들은 202010 디스코드 공격을 분석하던 중 TroubleGrabber를 발견했습니다.

 

이들은 악성코드를 호스팅하는 공개 디스코드 첨부파일 5,700건 이상을 발견했습니다.

 

NetSkope는 보고서를 통해 아래와 같이 밝혔습니다.

 

“202010월에만 악성 콘텐츠를 호스팅하고 있는 공개 디스코드 첨부파일 URL 5,700개 이상을 발견했습니다. 대부분 윈도우 실행파일 및 압축파일 형태였습니다. 또한 다음 단계 페이로드 또는 C2로 사용되는 디스코드 URL을 포함하는 샘플이 있는지 악성코드 데이터베이스를 검색해 보았습니다.”

 

그림 1은 동일한 기간 동안 디스코드 URL을 포함하며 디스코드에서 배포되던 악성코드 샘플 1,650개를 상위 5개 탐지 항목으로 분류한 것입니다.”

 

<탐지 항목 상위 5>

<이미지 출처: https://www.netskope.com/blog/here-comes-troublegrabber-stealing-credentials-through-discord>

 

 

TroubleGrabber 공격 킬 체인은 피해자가 악성코드에 감염될 경우 C:\temp 폴더에 다운로드되는 다음 단계 페이로드용 저장소로 디스코드Github을 모두 활용합니다.

 

TroubleGrabber 페이로드는 시스템 정보, IP 주소, 웹 브라우저 비밀번호, 토큰을 포함한 피해자의 크리덴셜을 훔칩니다.

 

이후 webhook URL을 통해 채팅 메시지로 공격자에게 전송합니다.”

 

 

< TroubleGrabber 공격 킬 체인>

<이미지 출처: https://www.netskope.com/blog/here-comes-troublegrabber-stealing-credentials-through-discord>

 

 

NetSkope는 현재 이 악성코드의 제작자가 멤버 573명으로 디스코드 서버를 운영하고 있으며, 다음 단계 페이로드와 악성코드 생성기를 공개 GitHub 계정에 호스팅한다는 것을 발견했습니다.

 

이들은 OSINT 분석을 통해 디스코드 서버, 페이스북 페이지, 트위터, 인스타그램, 웹사이트, 이메일 주소, 유튜브 채널을 찾아낼 수 있었습니다.

 

“Netskope Threat Labs2020 1120TroubleGrabber의 공격 요소를 Discord, GitHub, YouTube, Facebook, Twitter, Instagram에 모두 신고했습니다.”


현재 알약에서는 해당 악성코드 샘플을 'Gen:Variant.Razy.742965', 'Gen:Variant.Bulz.55502' 등으로 탐지 중입니다. 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/110887/malware/troublegrabber-discord-malware.html

https://www.netskope.com/blog/here-comes-troublegrabber-stealing-credentials-through-discord

https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/TroubleGrabber


저작자표시