보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

스트렐라스틸러 악성코드, 스페인 사용자들을 대상으로 유포 중

입력 : 2023-05-25 10:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이메일 계정 정보 탈취...선더버드와 아웃룩 계정 정보 훔쳐가

[보안뉴스 김영명 기자] 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 스트렐라스틸러(StrelaStealer)가 유포 중인 것을 확인했다. 스트렐라스틸러 악성코드는 지난해 11월경 처음 발견됐으며, 스팸 메일의 첨부파일을 통해 유포되고 있다. 기존 첨부파일에는 ISO 파일이 이용돼왔으나, 최근에는 ZIP 파일을 이용하고 있다.

[이미지=gettyimagesbank]


안랩 ASEC 분석팀에 따르면, 최근 유포 중인 스트렐라스틸러 악성코드가 포함된 이메일을 열어 보면 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있다. 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은 실제 악성 행위를 수행하는 스트렐라스틸러로 이메일 계정 정보를 탈취하는 악성코드다.

악성코드가 실행되면, 먼저 ‘컴퓨터명’과 ‘strela’ 문자열을 XOR[6자리] 한 값으로 뮤텍스를 생성한다. 이후 선더보드 및 아웃룩 정보를 수집하게 되는데, 이때 관련 정보가 존재하지 않는 경우 메시지 박스를 생성 후 종료한다.

▲스트렐라스틸러 악성코드 유포 메일[자료=안랩 ASEC 분석팀]


메시지 박스는 이메일과 동일하게 스페인어로 작성됐으며, 파일이 손상돼 실행할 수 없다는 내용이 포함돼 있다. 해당 메시지 박스를 통해 사용자는 손상된 파일로 생각할 수 있어 악성코드가 실행된 것을 인지하기 어렵다.

탈취하는 정보 중 첫 번째는 선더버드 계정 정보이며, 아래 경로의 파일을 읽어 명령제어(C2) 서버로 전송한다. 두 번째 탈취 정보는 아웃룩 계정 정보로, 아래 레지스트리 값을 읽어 C2로 전송한다. 추가로, ‘IMAP Password’ 값의 경우 CryptUnprotectData API를 통해 데이터를 복호화 후 전송한다.

안랩 ASEC 분석팀은 “최근 스페인 사용자들을 대상으로 이메일 계정 정보를 탈취하는 악성코드 유포가 확인되고 있으며 탈취된 정보를 통해 추가 피해가 발생할 수 있어 주의가 필요하다”고 말했다. 이어 “사용자는 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다”며 “주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트하는 것이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)