1. 유튜브를 통해 배포되는 Infostealer 악성코드
Reference: https://asec.ahnlab.com/en/32499/
최근 유튜브를 통해 배포되는 infostealer 악성코드가 발견되었다. 발로란트의 게임 핵으로 위장한 악성코드이며, 유튜브 동영상에 악성코드 다운로드 링크를 포함시키고 사용자에게 안티바이러스 프로그램을 끄도록 안내한다.
사용자가 게임핵 다운로드 링크를 들어가면 다운로드 페이지 hxxps://anonfiles[.]com/J0b03cKexf 로 연결되며, 파일이 다운로드 되는 URL 은 hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar 이다.
Plute Valornt cheat.rar 압축 파일은 Cheat installer.exe 라는 실행파일을 포함하며 해당 실행파일이 infostealer이다. 악성코드가 실행되면 감염된 시스템의 사용자 크리덴셜(스크린샷, 웹브라우저와 VPN 클라이언트에 저장된 계정 정보, 암호화폐 지갑 주소, 디스코드 토큰, 텔레그램 세션 파일 등)을 수집한다.
- 수집정보
- Basic Information: 컴퓨터 이름, 사용자 이름, IP, 윈도우 버전, 시스템 정보(CPU, GPU, RAM 등), 프로세스 리스트
- 웹브라우저
- 타겟 웹 브라우저 리스트: 크롬, 엣지, 파이어폭스
- 훔친 정보: 패스워드, 크레딧카드 번호, 자동완성 폼, 북마크, 쿠키
- 암호화폐 지갑 파일: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx
- VPN 클라이언트 계정 크리덴셜
- 타겟 VPN 클라이언트 리스트: ProtonVPN, OpenVPN, and NordVPN
- 훔친 정보: 계정 정보
- 그 외
- FileZila: 호스트 주소, 포트번호, 사용자 이름, 패스워드
- Minecraft VimeWorld: 계정 정보, 레벨, 랭킹 등
- Steam: 클라이언트 세션 정보
- Telegram: 클라이언트 세션 정보
- Discord: 토큰정보
공격자는 위와 같은 훔친 정보를 압축하여 디스코드 WebHooks API를 이용하여 특정 디스코드 서버에 전송한다.
IOC
MD5: 6649fec7c656c6ab0ae0a27daf3ebb8e
Malware Download
- Download page: hxxps://anonfiles[.]com/J0b03cKexf
- Malicious compressed file download URL: hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar
WebHook URL
- hxxps://discordapp[.]com/api/webhooks/947181971019292714/gXE5T4ZQQF0yGOhuBSDhTkFXB0ut9ai71IZmOFvsdIaznalhyvQP0h45xCss-8W7KQCo
- User-Agent: log
- User-Name: log
- hxxps://discord[.]com/api/webhooks/940299131098890301/RU4T0D4gNAYM0BZkAMMKQRwGBORfHiJUJ5lJ20Gd-s2yCIX9lXCbyB6yZ6zHUA5B-H42
- User-Agent: logloglog91
- User-Name: logloglog91
'깔짝할짝' 카테고리의 다른 글
| 202-03-18 Fri (0) | 2022.03.18 |
|---|---|
| 2022-03-16 Wed (0) | 2022.03.16 |
| 2022-03-09 Wed (0) | 2022.03.09 |
| 2022-03-08 Tue (0) | 2022.03.08 |
| 2022-03-04 Fri (0) | 2022.03.04 |