
새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다.
이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다.
이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다.

[인보이스로 위장한 DarkCloud 악성코드]
사진출처 : Cyble
출처
[1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer
https://blog.cyble.com/2023/02/20/decoding-the-inner-workings-of-darkcloud-stealer/
