|
새롭게 등장한 Erbium Stealer 악성코드 분석팀 2022.09.30 |
|
|
7월 경, 지하 포럼에서 Erbium 이라 불리는 Infostealer 악성코드가 발견됐다. 해당 악성코드는 현재 게임 크랙, 치트로 위장한 허위 파일 형태로 유포가 활발히 이뤄지고 있는 상태며 MaaS(Malware as a service)를 통해 불특정 다수에게 판매되고 있어 공격 벡터는 다양해질 수 있을것으로 보인다. Erbium은 처음 출시 당시 주당 $8 가격으로 판매가 되었으나 인기가 높아지자 월 가격 $100 까지 상승했다.
유포는 주로 Erbium 악성코드 모듈을 실행시키는 Loader를 통해 이뤄지며, 다운로드된 모듈은 파일로 Drop되지 않고 메모리상에 상주하게 된다.
- Erbium 모듈 다운로드 주소 * URL : http://79[.]137[.]192[.]5/api.php?method=getstub&bid=default &tag=drose
Erbium은 악성 행위 시작전, 공격자의 서버에 접속해 동작에 필요한 설정 값들을 수신받는다.
- Erbium 악성코드 설정 데이터 수신 주소 * 79[.]137[.]192[.]5/gate.php
이 후 탈취 대상이되는 Browser, Wallet 지갑 정보 등을 도난하는 행위를 수행, 수집된 데이터를 C&C서버로 전송하게 된다.
Bleeping Computer는 "현재 Erbium Stealer 는 타 MaaS를 제공하는 악성코드 보다 저렴하게 판매되고 있어 인기가 급상승하고 있는 상황이다. 또한 미국, 프랑스, 베트남, 이탈리아 등 전세계적으로 감염징후가 보고되고 있어 주의해야할 필요가 있다." 고 언급했다.
|