|
미국, 캐나다 은행 고객을 대상으로 하는 AutoHotkey 기반의 패스워드 스틸러 침해사고분석팀 2020.12.30 |
|
|
2020년 초에 시작된 캠페인의 일환으로 AutoHotkey(AHK) 스크립트 언어로 작성된 새로운 자격 증명 스틸러를 배포한 공격자들이 발견되었다.
미국과 캐나다의 금융기관 고객들은 1차 정보 유출 대상을 HSBC, EQ뱅크, Capital One 등의 은행으로 특정하고 있다. 이 명단에는 인도의 은행 회사인 ICICI 은행도 포함되어 있다.
오토핫키(AutoHotkey)는 매크로 생성과 소프트웨어 자동화를 위한 마이크로소프트 윈도우용 오픈 소스 사용자 지정 스크립트 언어이다.
감염은 VBA(Visual Basic for Applications) AutoOpen 매크로가 내장된 Excel파일로 시작되며, 이 매크로는 합법적인 포터블 AHK 스크립트 컴파일러 실행파일 ("adb[.]exe")를 통해 다운로드 클라이언트 스크립트("adb[.]ahk")를 삭제하고 실행하는 데 사용된다.
[그림 1. 브라우저별 동작 차이]
다운로드된 클라이언트 스크립트는 지속성을 유지하고, 피해자를 프로파일링하며, 미국, 네덜란드 및 스웨덴에 위치한 C&C(명령 제어) 서버에서 추가 AHK 스크립트를 다운로드하여 실행할 책임이 있습니다.
다른 악성코드와의 차별점은 C&C 서버에서 직접 명령을 받는 대신, AHK스크립트를 다운로드해 실행함으로써 서로 다른 작업을 수행한다는 점이다.
트렌드마이크로 연구진은 분석을 통해 "이렇게 동작함으로써 공격자가 특정 스크립트를 업로드해 각 사용자 또는 사용자 그룹에 맞는 맞춤형 작업을 달성할 수 있다"고 밝혔다.
구글 크롬, 오페라, Edge 등 다양한 브라우저를 타깃으로 하는 스틸러가 유포되고 있으며, 이는 설치된후 감염된 시스템에서 SQLite 모듈("sqlite3[.]dll")을 다운로드하여 브라우저 앱 폴더 내의 SQLite 데이터베이스에 대해 SQL 쿼리를 수행한다.
마지막 단계에서는 브라우저에서 자격 증명을 수집하고 암호를 해독하여 HTTP POST 요청을 통해 정보를 일반 텍스트로 C&C 서버로 전송한다.
출처 https://thehackernews.com/2020/12/autohotkey-based-password-stealer.html |
