0xNews - MS outlook, 구글 크롬 등 자격증명 탈취를 위한 공격 캠페인 발견

0xNews - MS outlook, 구글 크롬 자격증명 탈취를 위한 공격 캠페인 발견

Cisco Talos 연구팀 발표

윈도우 운영체제에서 실행되는 MS outlook, 구글 크롬, 인스턴트 메신저 앱 등의 자격증명 Credentials 정보를 훔치는 것을 목표로 하는 공격 피싱 캠페인 발견

2020년 9월부터 유럽 국가 등지에서 최초 발견

닷넷 .NET 기반 악성코드인 MassLogger 사용

현재 이탈리아와 동유럽 국가에서 주로 발견

MassLogger 트로이 목마의 작동은 이전에는 문서화

현재는 컴파일화된 HTML 파일 형식을 사용

감염 체인 infection chain 구축하여 공격하는 형태로 파악

컴파일화된 HTML 혹은 .CHM 은 MS 에서 개발

주제 기반 참조 정보를 제공하는데 사용

온라인 도움말 형식으로 구성

주로 사업 목적과 관련된 것처럼 위장하여 합법적으로 보이는 제목을 사용

피싱 메시지 전파를 통해 공격 수행

RAR 로 압축된 첨부된 파일에는 컴파일된 단일 HTML 파일이 포함

실제로는 정상적인 서버에 연결하기 위한 PowerShell 다운로더가 포함된 HTML 페이지를 생성하는 암호화된 JavsScript 코드 포함

MassLogger 페이로드 시작을 담당하는 로더를 다운로드하여 공격 수행

공격 캠페인 모듈 구성

공격이 성공되면 SMTP, FTP, HTTP 를 통해 축적된 데이터를 추출

현재까지의 MassLogger v.3.0.7563.31381 최신버전은 다음 행위를 수행

Pidgin 메신저 클라이언트

Discord

NordVPN

Outlook

Thunderbird

Firefox

QQ 브라우저, 구글 크롬, MS 에지, Opera, Brave 등 기반으로 하는 브라우저 등에서 저장하고 제공하는 자격 증명 정보 탈취 수행

연구팀은 이번 캠페인 경우 컴파일된 HTML 도움말 파일을 제외

메모리에서만 존재

정기적인 메모리 스캔을 통한 검사 권고

사용자는 모듈 로딩과 실행된 스크립트 블록과 같은 PowerShell 이벤트를 로그로 남기도록 시스템을 구성하는 것을 추천

실행된 코드를 암호화 해제된 형식으로 표시하기 때문

openLab