3줄 요약
1. 노드스틸러 멀웨어, 페이스북에 저장된 정보로 광고 관리자 계정 정보 및 데이터 탈취
2. 구글 크롬, MS 엣지, 오페라SW 오페라 등 다양한 웹 브라우저 상대로 카드 정보 등 수집
3. 웹 브라우저에 아이디·비밀번호 자동 저장 금지, 인터넷 쿠키 및 접속기록 주기적 삭제 중요
[보안뉴스 김영명 기자] 최근 페이스북의 광고 관리자의 계정 정보를 탈취하는 ‘노드스틸러(NodeStealer)’ 멀웨어가 발견됐다. 페이스북 광고 관리자는 페이스북과 인스타그램에 게시할 광고 생성과 관리 및 추적 등의 기능을 지원하는 서비스로 광고 예산 지출 금액과 한도 금액 및 광고 노출 대상 등 각 광고 목적에 맞는 세부적인 설정이 가능하다.
▲메타의 페이스북 광고관리자 홈페이지 안내문[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 분석팀은 노드스틸러 멀웨어의 공격 동향에 대해 분석했다. 노드스틸러는 페이스북 광고 관리자의 계정 정보와 웹 브라우저에 저장된 비밀번호 및 결제 카드 정보 등의 데이터를 모아 지정된 경로에 저장한다. 공격자는 이렇게 모은 데이터를 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램 주소로 전송한다.
▲페이스북 광고 관리자 계정 정보 수집[자료=잉카인터넷 시큐리티대응센터]
해당 악성코드는 페이스북 광고 관리자 페이지 주소로 GET 요청을 보내 광고 관리자 계정의 API(Application Programming Interface, 애플리케이션 프로그래밍 인터페이스) 토큰 값을 수집한다. API 토큰이란 API에 대한 액세스를 요청하는 고유 식별자로 이를 통해 API 사용 권한 여부를 확인하게 된다. 그 이후 페이스북에서 데이터를 가져오거나 내보낼 때 사용하는 Graph API를 이용해 관리자의 ID를 비롯한 계정 상태와 금액 사용 한도 및 사용 금액 등의 정보를 수집한다. 수집한 데이터는 지정된 경로 하위에 ‘data’라는 이름의 텍스트 형식의 파일로 저장한다.
공격자는 페이스북 광고 관리자 계정 외에 구글 크롬(Chrome)과 마이크로소프트 엣지(Edge), 오페라 소프트웨어의 오페라(Opera), 베트남의 콕콕(Côc Côc), 브레이브소프트웨어의 브레이브(Brave) 브라우저, 모질라 재단의 파이어폭스(Firefox), 구글의 크로미움(Chromium) 등 다양한 웹 브라우저를 대상으로 정보를 수집한다. 이 과정에서 각각의 웹 브라우저 프로세스를 윈도의 리스타트 매니저와 taskkill 명령어로 프로세스를 종료한 뒤 비밀번호와 결제 카드 및 쿠키 등의 정보를 수집한다. 그 이후 지정된 경로 하위에 각각의 브라우저 이름으로 폴더를 생성하고 수집한 정보를 저장하고 있다.
수집한 데이터는 국가 코드와 IP 주소 및 악성코드 실행 시각 등으로 구성된 일정한 이름의 압축 파일을 생성한다. 이어서 공격자의 텔레그램으로 피해자 PC의 운영체제(OS) 버전 및 계정 이름 등의 정보를 압축 파일과 함께 전송한다.
▲악성코드가 자동 실행되도록 Run 레지스트리에 등록한 모습[자료=잉카인터넷 시큐리티대응센터]
공격자는 정보 수집 외에도 피해자 PC가 재부팅될 때마다 자동으로 이 악성코드가 실행되도록 Run 레지스트리에 ‘Microsoft Service’라는 이름의 값을 생성하고 데이터에 ‘NodeStealer’를 실행하는 파워쉘 명령어를 등록한다. 이때 IP 조회 사이트인 Ipinfo.io에서 피해자 PC의 IP를 조회해서 파악한 사용자 PC의 지리적인 위치가 베트남으로 확인되면 해당 악성코드의 실행을 종료한다.
잉카인터넷 시큐리티대응센터 분석팀은 “노드스틸러 악성코드는 페이스북 광고 관리자 계정의 광고 사용 가능 금액과 사용 한도 등의 정보를 웹브라우저에 저장된 비밀번호 및 쿠키와 함께 수집하며 광고 관리자 계정의 로그인 정보를 탈취한다”며 “공격자는 수집한 페이스북 광고 관리자 계정 정보로 악성 광고를 만들어 다른 악성코드의 유포나 피싱 공격을 할 수 있어 주의가 필요하다”고 말했다.
이어 “사용자는 웹 브라우저에 비밀번호를 저장하는 것을 지양하고 인터넷 쿠키와 접속 기록 등은 주기적으로 삭제해야 한다”며 “사용하고 있는 백신 프로그램은 항상 최신 버전으로 유지하고 꾸준한 검사와 관리가 중요하다”고 당부했다.
[김영명 기자(boan@boannews.com)]
1. 노드스틸러 멀웨어, 페이스북에 저장된 정보로 광고 관리자 계정 정보 및 데이터 탈취
2. 구글 크롬, MS 엣지, 오페라SW 오페라 등 다양한 웹 브라우저 상대로 카드 정보 등 수집
3. 웹 브라우저에 아이디·비밀번호 자동 저장 금지, 인터넷 쿠키 및 접속기록 주기적 삭제 중요
[보안뉴스 김영명 기자] 최근 페이스북의 광고 관리자의 계정 정보를 탈취하는 ‘노드스틸러(NodeStealer)’ 멀웨어가 발견됐다. 페이스북 광고 관리자는 페이스북과 인스타그램에 게시할 광고 생성과 관리 및 추적 등의 기능을 지원하는 서비스로 광고 예산 지출 금액과 한도 금액 및 광고 노출 대상 등 각 광고 목적에 맞는 세부적인 설정이 가능하다.
▲메타의 페이스북 광고관리자 홈페이지 안내문[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 분석팀은 노드스틸러 멀웨어의 공격 동향에 대해 분석했다. 노드스틸러는 페이스북 광고 관리자의 계정 정보와 웹 브라우저에 저장된 비밀번호 및 결제 카드 정보 등의 데이터를 모아 지정된 경로에 저장한다. 공격자는 이렇게 모은 데이터를 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램 주소로 전송한다.
▲페이스북 광고 관리자 계정 정보 수집[자료=잉카인터넷 시큐리티대응센터]
해당 악성코드는 페이스북 광고 관리자 페이지 주소로 GET 요청을 보내 광고 관리자 계정의 API(Application Programming Interface, 애플리케이션 프로그래밍 인터페이스) 토큰 값을 수집한다. API 토큰이란 API에 대한 액세스를 요청하는 고유 식별자로 이를 통해 API 사용 권한 여부를 확인하게 된다. 그 이후 페이스북에서 데이터를 가져오거나 내보낼 때 사용하는 Graph API를 이용해 관리자의 ID를 비롯한 계정 상태와 금액 사용 한도 및 사용 금액 등의 정보를 수집한다. 수집한 데이터는 지정된 경로 하위에 ‘data’라는 이름의 텍스트 형식의 파일로 저장한다.
공격자는 페이스북 광고 관리자 계정 외에 구글 크롬(Chrome)과 마이크로소프트 엣지(Edge), 오페라 소프트웨어의 오페라(Opera), 베트남의 콕콕(Côc Côc), 브레이브소프트웨어의 브레이브(Brave) 브라우저, 모질라 재단의 파이어폭스(Firefox), 구글의 크로미움(Chromium) 등 다양한 웹 브라우저를 대상으로 정보를 수집한다. 이 과정에서 각각의 웹 브라우저 프로세스를 윈도의 리스타트 매니저와 taskkill 명령어로 프로세스를 종료한 뒤 비밀번호와 결제 카드 및 쿠키 등의 정보를 수집한다. 그 이후 지정된 경로 하위에 각각의 브라우저 이름으로 폴더를 생성하고 수집한 정보를 저장하고 있다.
수집한 데이터는 국가 코드와 IP 주소 및 악성코드 실행 시각 등으로 구성된 일정한 이름의 압축 파일을 생성한다. 이어서 공격자의 텔레그램으로 피해자 PC의 운영체제(OS) 버전 및 계정 이름 등의 정보를 압축 파일과 함께 전송한다.
▲악성코드가 자동 실행되도록 Run 레지스트리에 등록한 모습[자료=잉카인터넷 시큐리티대응센터]
공격자는 정보 수집 외에도 피해자 PC가 재부팅될 때마다 자동으로 이 악성코드가 실행되도록 Run 레지스트리에 ‘Microsoft Service’라는 이름의 값을 생성하고 데이터에 ‘NodeStealer’를 실행하는 파워쉘 명령어를 등록한다. 이때 IP 조회 사이트인 Ipinfo.io에서 피해자 PC의 IP를 조회해서 파악한 사용자 PC의 지리적인 위치가 베트남으로 확인되면 해당 악성코드의 실행을 종료한다.
잉카인터넷 시큐리티대응센터 분석팀은 “노드스틸러 악성코드는 페이스북 광고 관리자 계정의 광고 사용 가능 금액과 사용 한도 등의 정보를 웹브라우저에 저장된 비밀번호 및 쿠키와 함께 수집하며 광고 관리자 계정의 로그인 정보를 탈취한다”며 “공격자는 수집한 페이스북 광고 관리자 계정 정보로 악성 광고를 만들어 다른 악성코드의 유포나 피싱 공격을 할 수 있어 주의가 필요하다”고 말했다.
이어 “사용자는 웹 브라우저에 비밀번호를 저장하는 것을 지양하고 인터넷 쿠키와 접속 기록 등은 주기적으로 삭제해야 한다”며 “사용하고 있는 백신 프로그램은 항상 최신 버전으로 유지하고 꾸준한 검사와 관리가 중요하다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
