보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

페이스북에서 가짜 구인광고 통해 Ov3r_Stealer 악성코드 유포

입력 : 2024-03-03 21:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
업무 관련 상세 정보 제공 미끼로 링크 접속 유도...자격증명과 암호화폐 등 탈취
스틸러 페이로드 실행, 탈취한 민감 정보를 공격자의 텔레그램 채널로 전송
출처가 불분명한 파일 다운로드 및 실행 금지, 보안 프로그램과 OS 업데이트 필수


[보안뉴스 김영명 기자] 최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 ‘Ov3r_Stealer’ 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격증명과 암호화폐 등의 민감함 정보를 탈취한다.

▲Ov3r_Stealer 악성코드의 실행 흐름도[자료=잉카인터넷]


잉카인터넷 시큐리티대응센터는 최근 발견된 ‘Ov3r_Stealer’ 악성코드에 대해 분석한 결과를 발표하며 사용자들의 주의를 당부했다. Ov3r_Stealer 악성코드는 마이크로소프트 윈도 에러 리포팅 서비스인 ‘WerFaultSecure.exe’를 실행하고, DLL 사이드로딩 기법을 이용해 악성 DLL를 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다.

가짜 구인광고에 포함된 링크에 접속하면 악성 제어판 항목 파일(.cpl)이 다운로드된다. 해당 파일은 파워쉘(PowerShell) 스크립트를 이용해 공격자의 깃허브(GitHub) 저장소에서 ZIP 파일을 다운로드한 후 압축을 해제한다.

다운로드된 ZIP 파일은 ‘WerFaultSecure.exe’, ‘wer.dll’, ‘secure.pdf’ 등 3개의 파일을 포함하고 있다. 먼저, ‘WerFaultSecure.exe’ 파일은 윈도 에러 리포팅 서비스 프로그램이고, ‘wer.dll’ 파일은 WerFaultSecure.exe 실행 시 사이드 로딩되는 악성 DLL 파일이다. ‘secure.pdf’ 파일은 암호화된 스틸러 페이로드를 포함하는 바이너리 파일이다. 이어서 파워쉘 스크립트는 ‘WerFaultSecure.exe’를 실행한다.

▲wer.dll 사이드 로딩[자료=잉카인터넷]


‘WerFaultSecure.exe’이 실행되면 해당 파일과 같은 폴더에 위치한 ‘wer.dll’을 로드한다. 프로세스에 로딩된 ‘wer.dll’ 파일은 먼저 작업 스케줄러에 90분마다 ‘WerFaultSecure.exe’를 실행하는 새로운 작업을 등록해 지속성을 획득한다. 그 이후, ‘secure.pdf’에 포함된 데이터를 복호화해 .NET 형식의 스틸러 페이로드를 획득하고, CLR(공용 언어 런타임) 환경을 구성해 스틸러 페이로드를 로드 및 실행한다.

▲스틸러 페이로드 복호화[자료=잉카인터넷]


스틸러 페이로드가 실행되면 감염됨 호스트에서 브라우저, 암호화폐 및 프로그램 등에서 민감한 정보를 수집하고, 공격자의 텔레그램 채널로 전송한다. 이때 수집되는 정보는 크게 브라우저, 암호화폐, 프로그램, 시스템 정보 등으로 구분할 수 있다. 브라우저는 Chromium 및 Gecko 기반 브라우저가 대상이며, 암호화폐는 Armory, Atomic, Bytecoin, Coinomi, Jaxx, Electrum, Exodus, Guarda 등의 정보를 수집하게 된다. 프로그램은 Discord, FileZilla, Steam, Telegram 등의 프로그램 정보를, 시스템 정보로는 CPU, GPU, IP, Mac, 디스크, 메모리, 윈도 버전 등을 수집하는 것으로 파악됐다.

잉카인터넷 시큐리티대응센터 관계자는 “Ov3r_Stealer 악성코드는 DLL 사이드 로딩을 이용해 정상 프로그램에 삽입돼 실행되기 때문에 사용자가 악성코드에 감염됐다는 사실을 인지하기 어려워 더욱 주의가 필요하다”며 “이 같은 악성코드 감염을 예방하기 위해서는 출처가 불분명한 파일의 다운로드와 실행을 지양하고, 보안 프로그램과 OS를 항상 최신 버전으로 유지해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)