Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Discord의 새로운 맬웨어 TroubleGrabber, 패스워드 및 시스템 정보 훔쳐
작성일 2020-11-16 조회 85
Netskope 보안 연구원이 발견한 새로운 자격 증명 스틸러인 TroubleGrabber는 Discord 첨부파일을 통해 확산되고 Discord 웹훅을 사용하여 도난당한 정보를 공격자에게 전달한다.
 
여러 공격자들은 새로운 정보 스틸러를 사용하여 Discord 서버의 게이머를 표적으로 삼고 패스워드 및 기타 민감 정보를 훔친다.
 
이 기능은 Discord 사용자를 감염시키는 AnarchyGrabber[1,2,3] 라는 또 다른 맬웨어 변종과 유사하며 자격 증명을 수집하고 피해자의 2단계 인증(2FA)을 무력화하는 데 사용되기도 한다.
 
Netskope는 이전 보고서의 데이터를 수집하던 중 2020년 10월에 TroubleGrabber를 발견했는데, TroubleGrabber 샘플(Razy 변종으로 탐지됨)은 10월 동안 Discord를 대상으로 하는 전체 1,650 개의 맬웨어 샘플 중 85% 이상을 차지했다.
 
 
 
[그림1. 2020년 10월, TroubleGrabber 탐지 (출처: Netskope)]
 
 
맬웨어 공격 흐름
 
TroubleGrabber에 감염되면 Discord와 Github는 다음 단계 페이로드를 C:/temp 폴더에 다운로드하는 데 사용된다.
 
또한, Discord 웹훅을 사용하여 명령 및 제어(C2) 서버와 통신하고 피해자들의 도난당한 정보를 전송한다.
 
TroubleGrabber는 "웹 브라우저 토큰, Discord 웹훅 토큰, 웹 브라우저 패스워드 및 시스템 정보"를 포함한 광범위한 중요 정보를 훔친다.
 
이렇게 수집된 모든 정보는 Discord 웹훅을 사용하는 채팅 메시지를 통해 공격자의 Discord 서버로 전송된다.
 
해당 맬웨어는 Itroublve라는 이름의 공격자가 만든다.
 
TroubleGrabber의 저자는 현재 500명 이상의 구성원으로 Discord 서버를 운영하고 있으며, 공용 GitHub 계정에서 다음 단계 페이로드 및 맬웨어 생성기를 호스팅하고 있다.
 
또한, Netskope는 TroubleGrabber를 사용하여 맬웨어를 호스팅하기 위해 자체 Discord 서버를 설정하는 방법을 설명한 YouTube 튜토리얼을 발견했다.
 
 
 
[그림2. TroubleGrabber 공격 흐름]
 
 
확산 기술
 
TroubleGrabber는 주로 Discord 첨부 링크를 통해 드라이브 바이 다운로드를 사용하여 피해자의 컴퓨터에 전달되는 것으로 알려져 있다.
 
Netskope는 "게임 사기, Discord 설치 프로그램, 소프트웨어 크랙으로 위장한 파일 이름이 있는 드라이브 바이 다운로드 URL을 통해 배포된 1,000개 이상의 바이너리를 식별했다"고 밝혔다.
 
맬웨어는 탐지된 감염의 97.8%에서 Discord를 통해 배포되었으며, 어떤 경우에는 700 개 이상의 Discord 서버 채널 ID에서 Discord 사용자 사이에 정보 스틸러가 퍼지기도 했다.
 
Netskope는 "파일 이름과 전달 메커니즘을 바탕으로 TroubleGrabber가 게이머를 공략하는 데 적극적으로 활용되고 있다"고 결론짓는다.
 
Netskope의 Threat Labs는 11월 10일 TroubleGrabber의 침해 지표(IOCs)를 Discord, GitHub, YouTube, Facebook, Twitter 및 Instagram에 공유했다.
 
 
 
출처
https://www.bleepingcomputer.com/news/security/new-troublegrabber-discord-malware-steals-passwords-system-info/
첨부파일 첨부파일이 없습니다.
태그 Discord  TroubleGrabber  Netskope