0xNews - MS outlook, 구글 크롬 등 자격증명 탈취를 위한 공격 캠페인 발견
0xNews - MS outlook, 구글 크롬 자격증명 탈취를 위한 공격 캠페인 발견
Cisco Talos 연구팀 발표
https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html
윈도우 운영체제에서 실행되는 MS outlook, 구글 크롬, 인스턴트 메신저 앱 등의 자격증명 Credentials 정보를 훔치는 것을 목표로 하는 공격 피싱 캠페인 발견
2020년 9월부터 유럽 국가 등지에서 최초 발견
닷넷 .NET 기반 악성코드인 MassLogger 사용
현재 이탈리아와 동유럽 국가에서 주로 발견
MassLogger 트로이 목마의 작동은 이전에는 문서화
현재는 컴파일화된 HTML 파일 형식을 사용
감염 체인 infection chain 구축하여 공격하는 형태로 파악
컴파일화된 HTML 혹은 .CHM 은 MS 에서 개발
주제 기반 참조 정보를 제공하는데 사용
온라인 도움말 형식으로 구성
주로 사업 목적과 관련된 것처럼 위장하여 합법적으로 보이는 제목을 사용
피싱 메시지 전파를 통해 공격 수행
RAR 로 압축된 첨부된 파일에는 컴파일된 단일 HTML 파일이 포함
실제로는 정상적인 서버에 연결하기 위한 PowerShell 다운로더가 포함된 HTML 페이지를 생성하는 암호화된 JavsScript 코드 포함
MassLogger 페이로드 시작을 담당하는 로더를 다운로드하여 공격 수행
공격 캠페인 모듈 구성
공격이 성공되면 SMTP, FTP, HTTP 를 통해 축적된 데이터를 추출
현재까지의 MassLogger v.3.0.7563.31381 최신버전은 다음 행위를 수행
Pidgin 메신저 클라이언트
Discord
NordVPN
Outlook
Thunderbird
Firefox
QQ 브라우저, 구글 크롬, MS 에지, Opera, Brave 등 기반으로 하는 브라우저 등에서 저장하고 제공하는 자격 증명 정보 탈취 수행
연구팀은 이번 캠페인 경우 컴파일된 HTML 도움말 파일을 제외
메모리에서만 존재
정기적인 메모리 스캔을 통한 검사 권고
사용자는 모듈 로딩과 실행된 스크립트 블록과 같은 PowerShell 이벤트를 로그로 남기도록 시스템을 구성하는 것을 추천
실행된 코드를 암호화 해제된 형식으로 표시하기 때문
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.