← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

디스코드를 악용하는 SaintStealer 악성코드

최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. “SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게

2022-06-15INCA Security Center

최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. 


“SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다.


[그림 1] 감염 PC 정보 전송 결과



분석 및 중복 실행 방지

“SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “Sandboxie”의 사용 여부와 원격 데스크톱 프로토콜 (RDP)이 연결됐는지 확인하고, 사용자 PC의 제조업체 정보가 [그림 2]의 목록에 있는 경우에는 실행 중인 프로그램을 종료한다. 

[그림 2] 분석 방지 및 중복 실행 방지 코드


정보 수집

가상 환경 등의 사용 여부를 확인한 후, 시스템, 브라우저, 메신저 및 게임 프로그램의 정보를 수집한다.


A. 시스템 정보 수집 및 스크린샷 촬영

먼저, 사용자 PC에서 수집하는 시스템 정보는 [표 1]과 같으며, 수집한 정보는 “information.txt”란 이름의 파일로 저장해 공격자에게 보내진다.


[표 1] 시스템 정보 수집 목록


또한, 악성코드를 실행한 시점의 스크린샷을 찍은 후, “Screnshot.jpg”란 파일로 저장 및 압축 파일에 추가한다.


[그림 3] 스크린샷 촬영 코드


B. 브라우저 정보 수집

다음으로 [표 2]의 브라우저를 대상으로 쿠키, 웹사이트 로그인 정보 및 자동 완성 등의 정보를 수집한다.

 

[표 2] 웹 브라우저 및 정보 수집 대상 웹사이트


수집한 쿠키 정보 중, 크로미움(Chromium) 기반 브라우저의 쿠키 정보는 “Cookies/Chromium” 경로에 저장되고, 쿠키 목록 중, 로블록스(Roblox)와 관련된 쿠키 정보인 “.ROBLOSECURITY”가 있을 경우 “Others/Roblox/Tokens.txt”에 토큰을 별도로 저장한다.


Related

같은 분류의 보안정보

제품 연계 문의

보안 동향과 취약점 대응을 TACHYON 제품군 도입 검토로 연결합니다.

문의하기