SNAKE, 페이스북 메시지를 통해 확산되는 새로운 InfoStealer 분석팀 2024.03.08 |
|
보안 회사의 연구원들이 위협 행위자들이 Facebook 메시지를 활용하여 Python 기반 정보 도용자인 Snake 악성 코드를 확산시키고 있다고 경고했다.
연구원들은 위협 행위자들이 세 가지 다른 Python Infostealer 변종을 유지하고 있음을 발견했다.
이러한 변형 중 두 개는 일반 Python 스크립트인 반면, 세 번째 변형은 PyInstaller로 조립된 실행 파일이다.
악성코드가 감염된 시스템에서 자격 증명을 빼낸 후 해당 API를 악용하여 Discord, GitHub, Telegram과 같은 다른 플랫폼으로 전송한다.
이 캠페인은 사이버 보안 연구원이 X에 공개한 최소 2023년 8월부터 활성화되었다.
[그림1. 사이버 보안 연구원이 X에 공개]
위협 행위자는 RAR 또는 ZIP 파일과 같은 아카이브 파일을 다운로드하도록 속이기 위해 피해자에게 Facebook 메신저 직접 메시지를 보냈다.
아카이브에는 배치 스크립트와 cmd 스크립트라는 두 개의 다운로더가 포함되어 있으며 최종 다운로더는 피해자 시스템에 적절한 Python Infostealer 변종을 설치하는 데 사용된다.
보관된 파일에는 감염 체인을 시작하는 첫 번째 다운로더인 BAT 스크립트가 포함되어 있다.
BAT 스크립트는 cURL 명령을 통해 ZIP 파일을 다운로드하려고 시도하며 다운로드한 파일을 C:UsersPublic 디렉터리에 myFile.zip으로 배치한다.
BAT 스크립트는 다른 PowerShell 명령 Expand-Archive를 생성하여 ZIP 파일에서 CMD 스크립트 vn.cmd를 추출하고 감염을 진행한다.
회사가 발행한 보고서에 따르면, CMD 스크립트 vn.cmd는 Python Infostealer 다운로드 및 실행을 담당하는 기본 스크립트이다.Infostealer는 다음을 포함하여 다양한 웹 브라우저에서 민감한 데이터를 수집할 수 있다.
Coc Coc Browser는 베트남 커뮤니티에서 널리 사용되는 브라우저라는 점에 주목해야 한다.
이 브라우저의 선택은 또한 어느 시점에서 베트남 커뮤니티를 대상으로 하는 특정한 요구가 있었음을 시사한다.
연구원들은 Infostealer가 Facebook과 관련된 쿠키 정보도 수집할 수 있다는 사실을 발견했다.
그들은 쿠키 및 자격 증명 정보 외에도 project.py는 Facebook cookiefb.txt와 관련된 쿠키 정보를 디스크에 덤프하며, 이러한 행동은 위협 행위자가 피해자의 Facebook 계정을 탈취하여 잠재적으로 감염을 확대할 가능성이 높다고 말한다.
연구원들은 스크립트의 설명, 명명 규칙, 대상 브라우저 목록에 Coc Coc 브라우저의 존재 등 몇 가지 지표를 기반으로 이 캠페인이 베트남어를 사용하는 개인의 소행이라고 밝혔다.
보고서에는 이 캠페인에 대한 MITRE ATT&CK 매핑이 포함되어 있다.
출처: https://securityaffairs.com/160131/malware/snake-info-stealer.html |