브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장

2020-01-14 14:51
  • 카카오톡
  • 네이버 블로그
  • url
크로미움 기반 브라우저들 특히 집중해 노려...암호화폐 지갑도 다양하게 털리고
이름은 오스키 스틸러...아직 개발 중에 있지만 이미 상당한 공격 효율 보여주고 있어


[보안뉴스 문가용 기자] 새로운 정보 탈취형 멀웨어가 발견됐다. 인터넷 브라우저와 암호화폐 지갑 애플리케이션들을 감염시키는 유형으로, 아직 개발이 완료된 것으로 보이지는 않는다고 한다. 그럼에도 현재 북미 지역에서 여러 피해자들을 발생시키고 있는 상황이다.


[이미지 = iclickart]

이 멀웨어에는 오스키 스틸러(Oski Stealer)라는 이름이 붙었다. 현재 다크웹 사이버 포럼에서 활발하게 광고되고 있다. 특히 러시아 포럼에서 인기가 높다고 보안 전문가인 아디티야 수드(Aditya Sood)는 설명한다. 오스키 스틸러는 크리덴셜, 신용카드 번호, 지갑 계정 정보 등을 훔쳐내는 기능을 가지고 있는 것으로 나타났으며, 현재까지 벌써 5만여 개의 비밀번호를 훔치는 데 성공했다고 한다.

오스키 스틸러는 드라이브 바이 다운로드(drive-by downloads), 피싱 공격 등 여러 ‘표준’ 감염 기법을 통해 퍼지고 있는 중이다. 여러 종류의 시스템에 설치되어 작동할 수 있을 정도로 호환성이 좋다고 알려져 있다. x86과 x64 버전의 윈도우 7, 8, 8.1, 10에서 작동하고, 관리자 권한이 없어도 설치가 된다.

오스키 스틸러가 정보를 취합하는 브라우저는 크롬, 오페라, 코모도 드래곤, 얀덱스, 비발디, 파이어폭스, 페일 문, 사이버폭스이며, 암호화폐 지갑 중에서는 비트코인 코어(Bitcoin Core), 이더리움(Ethereum), 일렉트럼LTC(ElectrumLTC), 모네로(Monero), 일렉트럼(Electrum), 대시(Dash), 라이트코인(Litecoin), 지캐시(ZCash) 등이 있는 것으로 알려져 있다.

오스키 스틸러는 레지스트리와 브라우저의 SQ라이트 데이터베이스에서 크리덴셜을 추출하기도 하고, DLL 주입을 통해 브라우저 프로세스를 후킹하면서 중간자 공격을 실시하기도 한다. 저장된 세션 쿠키도 이들이 주로 노리는 것 중 하나다. 데이터 유출은 HTTP POST 요청을 통해서 이뤄진다. 이를 통해 전송되는 데이터는 ProgramData라는 폴더 내에 저장된다.

수드는 이를 분석하는 과정 중에 공격자들의 C&C 서버에 접근하는 데 성공했다. “현재 범죄자들의 행위에 대한 정보를 입수할 수 있었습니다. C&C 서버가 마련된 도메인은 지난 달에 만들어졌고, 최근까지 업데이트가 진행됐습니다. 러시아에 있는 서버에 호스팅 되어 있으며, 인터넷에만 연결되어 있다면 아무나 이 C&C로 접근할 수 있습니다.”

처음 C&C 서버에 접근했을 때 약 88개의 로그가 있었다고 수드는 말한다. “공격자들이 탈취한 비밀번호는 43336개 저장되어 있었습니다. 그런데 10시간 정도 후에 로그는 249개로, 비밀번호는 49942개로 증가한 상태였습니다. 그러더니 금방 268개와 50726개로 늘어나 있더군요.”

아마도 러시아 해커들이 활용하고 있을 가능성이 높은 오스키 스틸러의 피해자는 현재까지 미국에 집중되어 있다. 애플리케이션으로 보자면 크로미움을 기반으로 한 브라우저에서 대부분의 정보가 새나갔다(전체의 97%). “대부분 구글 계정 정보가 공격자들의 손에 넘어갔습니다. 구글 계정을 집중적으로 노리는 것 같습니다.”

수드는 “아직까지 오스키 스틸러가 완성품으로 보이지는 않는다”고 말한다. “판매되고는 있지만, 앞으로 더 많은 업그레이드가 약속되어 있기도 합니다. 또한 완성되어 있지는 않지만 이미 높은 효율을 보여주고 있기도 하고요. 빠른 대처가 필요합니다.”

3줄 요약
1. 정보 탈취형 멀웨어 오스키 스틸러, 새롭게 등장.
2. 현재 러시아 포럼을 중심으로, 다크웹에서 활발히 광고되고 있음.
3. 이미 각종 비밀번호 5만여 개 탈취 성공. 브라우저와 암호화폐 지갑이 집중 공격 대상.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기