스택 스틸러, 구글 상단 광고에 정상 사이트로 위장한 피싱 사이트 통해 유포

드롭박스 인증서로 서명돼 ‘익스퍼트 PDF’ 프로그램으로 위장해 유포 중
잉카인터넷, “정상 웹사이트로 위장한 피싱 사이트 유포 확산, 사용자 주의 필요”

[보안뉴스 김영명 기자] 최근 세계 최대 검색사이트인 구글(Google) 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 통해 악성코드를 유포하는 정황이 포착됐다.

▲유효하지 않은 드롭박스 인증서로 서명된 드로퍼[자료=잉카인터넷]

잉카인터넷의 분석에 따르면, 이번에 발견된 스택 스틸러(Statc Stealer)가 구글의 정상 광고를 위장한 피싱 광고를 통해 사용자를 끌어들인 후, 악성 파일을 다운로드하고 실행하도록 유도하고 있는 것이 발견됐다.

이렇게 노출된 피싱 사이트로부터 다운로드된 스택 드로퍼는 유효하지 않은 드롭박스(Dropbox)사 인증서로 서명된 채 미국의 어번퀘스트(Avanquest) 사에서 개발한 익스퍼트 PDF(Expert PDF)라는 이름의 정상 프로그램으로 위장해 유포됐다.

▲PDF 관련 정상 프로그램으로 위장[자료=잉카인터넷]

드로퍼가 실행되면 윈도 LOCALPPDATA 내 Temp 경로에 정상 프로그램으로 위장하기 위한 Expert_PDF.exe과 추가 페이로드를 다운로드하는 cht_x64.exe를 생성하고 실행한다. Expert_PDF.exe가 실행되면 ‘Expert PDF’ 설치 파일과 같이 정상적인 기능을 가진 프로그램이 실행돼 사용자가 악성 파일이 몰래 실행됐음을 눈치채지 못하게 한다. 이와 동시에 실행된 cht_x64.exe는 공격자 서버로부터 정보 탈취 기능을 가진 스택 스틸러를 내려받고 실행하게 된다.

다운로더에 의해 실행되는 스택 스틸러는 일반적인 정보 탈취형 악성 파일과 마찬가지로 브라우저, 암호화폐, 메신저와 같이 민감한 개인정보를 가지는 프로그램을 탐색하며, 정보를 수집한다. 이때 정보 수집 대상 프로그램을 보면 ‘브라우저’에서는 △Chrome △Brave △Yandex △Opera △Edge △Firefox 등이, ‘암호화폐 관련 프로그램’에서는 △Electrum △Exodus △MetaMask △Binance △Phantom △Ronin △Tronlink 등을 통해 정보를 수집하게 된다. 파일질라(FileZilla), 애니데스크(AnyDesk), 텔레그램(Telegram), 오토필(Autofill) 등의 특정 프로그램을 통해서도 정보가 탈취되고 있다.

▲정보 수집 대상 Chrome 확장 프로그램[자료=잉카인터넷]

이외에도 Chrome 브라우저의 확장 프로그램 중 ‘정보 수집 대상 Chrome 확장 프로그램’과 같이 암호화폐, 패스워드, 이메일과 관련된 프로그램으로부터 정보를 수집한다. 수집된 정보는 암호화된 채 일시적으로 텍스트 파일로 저장된다. 저장된 텍스트 파일은 악성파일 프로세스에 의해 직접 공격자 서버로 전달되지 않고, 파워쉘(Powershell)의 Invoke-WebRequest 기능에 의해 전달된 후 삭제된다.

▲탈취된 데이터와 암호화된 모습(위부터)[자료=잉카인터넷]

잉카인터넷 관계자는 “과거의 피싱 사이트 링크는 파일 공유 사이트와 같이 신뢰도가 낮은 곳을 중심으로 유포됐던 반면에 최근에는 점차 일반인들에게 신뢰받는 사이트에 유포되고 있다. 이와 같은 피해를 예방하기 위해서는 출처가 불분명한 파일은 다운로드해서는 안 되며, 특정 프로그램을 다운로드할 때는 꼭 공식 홈페이지를 통해 내려받아야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)