스트렐라스틸러 악성코드, 스페인 사용자들을 대상으로 유포 중

  |  입력 : 2023-05-25 10:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이메일 계정 정보 탈취...선더버드와 아웃룩 계정 정보 훔쳐가

[보안뉴스 김영명 기자] 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 스트렐라스틸러(StrelaStealer)가 유포 중인 것을 확인했다. 스트렐라스틸러 악성코드는 지난해 11월경 처음 발견됐으며, 스팸 메일의 첨부파일을 통해 유포되고 있다. 기존 첨부파일에는 ISO 파일이 이용돼왔으나, 최근에는 ZIP 파일을 이용하고 있다.

[이미지=gettyimagesbank]


안랩 ASEC 분석팀에 따르면, 최근 유포 중인 스트렐라스틸러 악성코드가 포함된 이메일을 열어 보면 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있다. 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은 실제 악성 행위를 수행하는 스트렐라스틸러로 이메일 계정 정보를 탈취하는 악성코드다.

악성코드가 실행되면, 먼저 ‘컴퓨터명’과 ‘strela’ 문자열을 XOR[6자리] 한 값으로 뮤텍스를 생성한다. 이후 선더보드 및 아웃룩 정보를 수집하게 되는데, 이때 관련 정보가 존재하지 않는 경우 메시지 박스를 생성 후 종료한다.

▲스트렐라스틸러 악성코드 유포 메일[자료=안랩 ASEC 분석팀]


메시지 박스는 이메일과 동일하게 스페인어로 작성됐으며, 파일이 손상돼 실행할 수 없다는 내용이 포함돼 있다. 해당 메시지 박스를 통해 사용자는 손상된 파일로 생각할 수 있어 악성코드가 실행된 것을 인지하기 어렵다.

탈취하는 정보 중 첫 번째는 선더버드 계정 정보이며, 아래 경로의 파일을 읽어 명령제어(C2) 서버로 전송한다. 두 번째 탈취 정보는 아웃룩 계정 정보로, 아래 레지스트리 값을 읽어 C2로 전송한다. 추가로, ‘IMAP Password’ 값의 경우 CryptUnprotectData API를 통해 데이터를 복호화 후 전송한다.

안랩 ASEC 분석팀은 “최근 스페인 사용자들을 대상으로 이메일 계정 정보를 탈취하는 악성코드 유포가 확인되고 있으며 탈취된 정보를 통해 추가 피해가 발생할 수 있어 주의가 필요하다”고 말했다. 이어 “사용자는 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다”며 “주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트하는 것이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)