같은 이름 텔레그램 채널에서 150달러에 판매...수집 가능 항목, 탈취물, 제작자 프로필 게시
웹브라우저·프로그램·파일·암호화폐 지갑·시스템 등 정보수집, 스크린샷 촬영 등의 불법 행위
[보안뉴스 김영명 기자] 최근 텔레그램에서 판매 중인 정보탈취 악성코드 ‘앵그리 스틸러(Angry Stealer)’가 발견됐다. 이 악성코드는 ‘ANGRY STEALER’라는 텔레그램 채널에서 150달러에 판매되고 있으며, 해당 채널에는 수집 가능한 항목과 탈취한 결과물, 그리고 제작자의 프로필 정보가 게시됐다.
▲텔레그램 악성코드 판매 게시글[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터는 앵그리 스틸러 악성코드에 대해 분석 발표했다. 앵그리 스틸러 악성코드를 실행하면 웹 브라우저와 암호화폐 지갑 등의 데이터를 수집하고 스크린샷을 찍어 지정한 경로에 폴더를 생성한 뒤 수집한 데이터를 저장한다. 그리고 국가 코드와 IP 주소를 포함해 일정한 형식을 갖춘 파일 이름으로 압축 파일을 만들어 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드를 실행하면 ‘%temp%’ 경로에 2개의 파일을 드롭한다. 이 가운데 ‘Stepasha.exe’가 정보 탈취 동작을 수행하는 ‘Angry Stealer’이며 ‘MotherRussia.exe’는 사용자가 입력한 정보로 또 다른 실행 파일을 생성하는 빌더를 뜻한다.
드롭된 파일 중 ‘MotherRussia.exe’는 사용자에게 토큰과 아이디 및 뮤텍스 값 등을 입력받는다. 그 이후 사용자가 입력한 값과 ‘stub.il’ 파일의 코드를 사용해 새로운 EXE 파일을 생성하려고 하지만 ‘stub.il’ 파일이 존재하지 않아 더 이상의 동작은 확인할 수 없다.
▲악성코드 빌더의 실행 화면[자료=잉카인터넷 시큐리티대응센터]
‘Stepasha.exe’는 웹 브라우저와 시스템 정보를 비롯한 각종 데이터를 수집하고 스크린샷을 찍어 지정된 경로에 저장한다. 데이터 수집이 완료된 다음에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드는 크게 웹브라우저 정보, 프로그램 정보, 파일, 암호화폐 지갑 정보, 시스템 정보 및 프로세스 목록 등의 정보 수집 이외에도 스크린샷 촬영 등의 불법 행위를 한다.
먼저 ‘웹 브라우저 정보 수집’을 보면, 이 악성코드를 실행했을 때 엣지(Edge) 브라우저와 크로미움(Chrominum) 및 게코(Gecko) 기반 브라우저를 대상으로 비밀번호와 신용카드 등의 정보를 수집한다. 그 후 지정된 경로 하위에 ‘Browsers’ 폴더를 생성하고 수집한 데이터를 저장한다. 엣지 브라우저와 크로미움에서는 신용카드, 비밀번호, 쿠키, 자동 완성, 북마크 등의 내용을, 게코에서는 비밀번호와 쿠키, 북마크 등의 정보를 수집한다.
‘프로그램 정보 수집’에서는 VPN과 메신저 및 FTP 등의 프로그램 정보를 수집한다. 이때 VPN과 Messenger 프로그램 대상으로는 저장된 사용자 계정 정보를 탈취하고, 파일질라(Filezilla) 프로그램에서는 최근 연결한 FTP 서버의 IP 주소와 포트 번호 및 로그인 정보를 수집한다. VPN은 ProtonVPN, OpenVPN, NordVPN 등에서, 메신저는 디스코드(Discord)와 텔레그램(Telegram) 등에서, FTP는 파일질라에서, 게임은 바임월드(vimeworld) 등에서 정보를 수집한다.
세 번째로 ‘파일 수집’에서는 웹 브라우저와 프로그램 정보 수집 외에도 바탕화면과 문서 등의 경로에서 파일 크기가 1.25MB 이하인 파일들만 수집한다. 또한 지정된 경로의 하위에 ‘Files’ 이름의 폴더를 만들어 수집한 파일들을 저장한다. 이때 파일 수집 경로는 %USERPROFILE%₩Desktop, %USERPROFILE%₩Documents, %USERPROFILE%₩source 등이다.
네 번째로 파일 수집 이후에는 Armony, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx 등 암호화폐 지갑의 정보를 수집한다. 이 과정에서 레지스트리를 조회해 암호화폐 지갑 설치 유무와 경로를 확인한 뒤 데이터를 수집하며, 지정된 경로에 ‘wallets’이란 폴더를 생성해 수집한 데이터를 저장한다.
다섯 번째로 사용자 PC의 지리적 위치와 사용자 계정명 및 IP 주소 등을 비롯한 다음의 목록을 대상으로 시스템 정보들을 수집한 뒤, 지정된 경로에 ‘Information.txt’라는 이름으로 저장한다. 그리고 현재 실행 중인 프로세스 목록도 파악해 ‘Process.txt’로 저장한다.
▲앵그리 스틸러 악성코드는 스크린샷을 찍어 저장하기도 한다[자료=잉카인터넷 시큐리티대응센터]
앵그리 스틸러 악성코드는 이와 같은 다양한 정보 수집 이외에도 스크린샷을 찍어 이전에 수집한 데이터와 동일한 경로에 ‘Screen.png’라는 이름으로 저장한다. 수집한 데이터는 국가 코드와 IP 주소 및 사용자 계정명 등을 비롯해 일정한 형식의 파일 이름으로 압축 파일을 생성하고, 수집한 데이터 개수 및 목록과 함께 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드는 PC 정보 뿐만 아니라 디스코드를 비롯한 메신저 프로그램과 웹 브라우저의 정보까지 탈취하며, 현재까지도 공격자의 텔레그램 채널에서 판매되고 있기 때문에 사용자들의 주의가 필요하다.
▲악성코드가 수집한 정보를 텔레그램으로 전송하는 모습[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터 관계자는 “텔레그램과 같이 익명성을 지닌 메신저 플랫폼에서 악성코드를 무료 또는 유료로 제공하는 경우가 점차 많아지고 있어 잘못하면 사용하는 PC가 악성코드에 감염될 수 있다”며 “웹 브라우저와 프로그램에서 비밀번호나 신용카드 등의 사용자 정보 저장과 자동 로그인 기능 사용을 지양하고, OS와 백신 프로그램을 항상 최신 버전으로 유지할 것을 권고한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
웹브라우저·프로그램·파일·암호화폐 지갑·시스템 등 정보수집, 스크린샷 촬영 등의 불법 행위
[보안뉴스 김영명 기자] 최근 텔레그램에서 판매 중인 정보탈취 악성코드 ‘앵그리 스틸러(Angry Stealer)’가 발견됐다. 이 악성코드는 ‘ANGRY STEALER’라는 텔레그램 채널에서 150달러에 판매되고 있으며, 해당 채널에는 수집 가능한 항목과 탈취한 결과물, 그리고 제작자의 프로필 정보가 게시됐다.
▲텔레그램 악성코드 판매 게시글[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터는 앵그리 스틸러 악성코드에 대해 분석 발표했다. 앵그리 스틸러 악성코드를 실행하면 웹 브라우저와 암호화폐 지갑 등의 데이터를 수집하고 스크린샷을 찍어 지정한 경로에 폴더를 생성한 뒤 수집한 데이터를 저장한다. 그리고 국가 코드와 IP 주소를 포함해 일정한 형식을 갖춘 파일 이름으로 압축 파일을 만들어 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드를 실행하면 ‘%temp%’ 경로에 2개의 파일을 드롭한다. 이 가운데 ‘Stepasha.exe’가 정보 탈취 동작을 수행하는 ‘Angry Stealer’이며 ‘MotherRussia.exe’는 사용자가 입력한 정보로 또 다른 실행 파일을 생성하는 빌더를 뜻한다.
드롭된 파일 중 ‘MotherRussia.exe’는 사용자에게 토큰과 아이디 및 뮤텍스 값 등을 입력받는다. 그 이후 사용자가 입력한 값과 ‘stub.il’ 파일의 코드를 사용해 새로운 EXE 파일을 생성하려고 하지만 ‘stub.il’ 파일이 존재하지 않아 더 이상의 동작은 확인할 수 없다.
▲악성코드 빌더의 실행 화면[자료=잉카인터넷 시큐리티대응센터]
‘Stepasha.exe’는 웹 브라우저와 시스템 정보를 비롯한 각종 데이터를 수집하고 스크린샷을 찍어 지정된 경로에 저장한다. 데이터 수집이 완료된 다음에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드는 크게 웹브라우저 정보, 프로그램 정보, 파일, 암호화폐 지갑 정보, 시스템 정보 및 프로세스 목록 등의 정보 수집 이외에도 스크린샷 촬영 등의 불법 행위를 한다.
먼저 ‘웹 브라우저 정보 수집’을 보면, 이 악성코드를 실행했을 때 엣지(Edge) 브라우저와 크로미움(Chrominum) 및 게코(Gecko) 기반 브라우저를 대상으로 비밀번호와 신용카드 등의 정보를 수집한다. 그 후 지정된 경로 하위에 ‘Browsers’ 폴더를 생성하고 수집한 데이터를 저장한다. 엣지 브라우저와 크로미움에서는 신용카드, 비밀번호, 쿠키, 자동 완성, 북마크 등의 내용을, 게코에서는 비밀번호와 쿠키, 북마크 등의 정보를 수집한다.
‘프로그램 정보 수집’에서는 VPN과 메신저 및 FTP 등의 프로그램 정보를 수집한다. 이때 VPN과 Messenger 프로그램 대상으로는 저장된 사용자 계정 정보를 탈취하고, 파일질라(Filezilla) 프로그램에서는 최근 연결한 FTP 서버의 IP 주소와 포트 번호 및 로그인 정보를 수집한다. VPN은 ProtonVPN, OpenVPN, NordVPN 등에서, 메신저는 디스코드(Discord)와 텔레그램(Telegram) 등에서, FTP는 파일질라에서, 게임은 바임월드(vimeworld) 등에서 정보를 수집한다.
세 번째로 ‘파일 수집’에서는 웹 브라우저와 프로그램 정보 수집 외에도 바탕화면과 문서 등의 경로에서 파일 크기가 1.25MB 이하인 파일들만 수집한다. 또한 지정된 경로의 하위에 ‘Files’ 이름의 폴더를 만들어 수집한 파일들을 저장한다. 이때 파일 수집 경로는 %USERPROFILE%₩Desktop, %USERPROFILE%₩Documents, %USERPROFILE%₩source 등이다.
네 번째로 파일 수집 이후에는 Armony, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx 등 암호화폐 지갑의 정보를 수집한다. 이 과정에서 레지스트리를 조회해 암호화폐 지갑 설치 유무와 경로를 확인한 뒤 데이터를 수집하며, 지정된 경로에 ‘wallets’이란 폴더를 생성해 수집한 데이터를 저장한다.
다섯 번째로 사용자 PC의 지리적 위치와 사용자 계정명 및 IP 주소 등을 비롯한 다음의 목록을 대상으로 시스템 정보들을 수집한 뒤, 지정된 경로에 ‘Information.txt’라는 이름으로 저장한다. 그리고 현재 실행 중인 프로세스 목록도 파악해 ‘Process.txt’로 저장한다.
▲앵그리 스틸러 악성코드는 스크린샷을 찍어 저장하기도 한다[자료=잉카인터넷 시큐리티대응센터]
앵그리 스틸러 악성코드는 이와 같은 다양한 정보 수집 이외에도 스크린샷을 찍어 이전에 수집한 데이터와 동일한 경로에 ‘Screen.png’라는 이름으로 저장한다. 수집한 데이터는 국가 코드와 IP 주소 및 사용자 계정명 등을 비롯해 일정한 형식의 파일 이름으로 압축 파일을 생성하고, 수집한 데이터 개수 및 목록과 함께 공격자의 텔레그램으로 전송한다.
앵그리 스틸러 악성코드는 PC 정보 뿐만 아니라 디스코드를 비롯한 메신저 프로그램과 웹 브라우저의 정보까지 탈취하며, 현재까지도 공격자의 텔레그램 채널에서 판매되고 있기 때문에 사용자들의 주의가 필요하다.
▲악성코드가 수집한 정보를 텔레그램으로 전송하는 모습[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터 관계자는 “텔레그램과 같이 익명성을 지닌 메신저 플랫폼에서 악성코드를 무료 또는 유료로 제공하는 경우가 점차 많아지고 있어 잘못하면 사용하는 PC가 악성코드에 감염될 수 있다”며 “웹 브라우저와 프로그램에서 비밀번호나 신용카드 등의 사용자 정보 저장과 자동 로그인 기능 사용을 지양하고, OS와 백신 프로그램을 항상 최신 버전으로 유지할 것을 권고한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
