러스트(Rust)로 제작된 인포스틸러 악성코드가 해킹 포럼에 무료로 공개되었습니다.

사이버 보안 업체 Cyble의 분석가는 새로운 인포스틸러를 샘플링하여 ‘루카 스틸러(Luca Stealer)’라고 명명했으며, 해당 악성코드가 공격에 적극적으로 사용된다고 보고했습니다.

배포자가 불과 6시간 만에 개발했다고 주장하는 이 악성코드는 바이러스토탈(VirusTotal)에서 약 22%의 탐지율을 보이고 있습니다.

[그림 1] 다크넷 포럼에 배포하는 악성코드 제작자 (출처 : BleepingComputer)

크로스 플랫폼 언어인 러스트로 작성된 루카 스틸러는 위협 행위자가 여러 운영 체제를 대상으로 공격할 수 있습니다. 그러나 현재 형태의 루카 스틸러는 윈도우 운영 체제만 겨냥합니다.

(단, 러스트로 작성되었기 때문에, 리눅스 또는 MacOS 운영 체제 환경에 맞게 변환하는 것이 복잡하지 않아 공격 대상 시스템으로 활용될 가능성은 존재합니다.)

루카 스틸러 기능

루카 스틸러가 실행되면 30개의 Chromium 기반 웹 브라우저에서 데이터 탈취를 시도하여, 저장된 신용카드, 로그인 자격 증명 및 쿠키를 훔칩니다. 또한 콜드 월렛 및 핫 월렛의 브라우저 애드온, Steam 계정, 디스코드 토큰, Ubisoft Play 등을 겨냥하기도 합니다.

루카 스틸러가 다른 인포스틸러에 비해 두드러지는 점은 패스워드 관리자 브라우저 애드온에 초점을 두어, 이러한 종류의 17개 애플리케이션에 대해 로컬에 저장된 데이터를 탈취하는 것입니다.

[그림 3] 대상 브라우저 확장 (출처 : Cyble)

응용 프로그램을 대상으로 할 뿐만 아니라, Luca 스틸러는 스크린샷을 캡쳐하여 .png 파일로 저장하고 “whoami” 명령어를 실행하여 호스트 시스템을 프로파일링하고 세부 정보를 운영자에게 전달합니다.

[그림 4] 호스트 시스템 정보 수집 과정 (출처 : Cyble)

일반적으로 다른 인포스틸러에서는 볼 수 있지만 Luca 스틸러에서는 사용할 수 없는 기능 중 하나는 암호화폐 거래를 가로채기 위해 클립보드 내용을 수정하는 데 사용되는 클리퍼입니다.

루카 스틸러는 AppData\Local\Temp 디렉터리에 ‘out.zip’이라는 압축 파일을 생성합니다. 이 압축 파일은 탈취한 데이터를 저장하는 데 사용된 폴더에서 생성됩니다.

이렇게 탈취한 데이터 파일이 50MB 이상인지의 여부에 따라, 디스코드 웹훅 또는 텔레그램 봇을 통해 데이터 유출이 결정됩니다. 

또한, IP 주소나 OS 상세 정보와 같이 탈취한 데이터의 요약을 채팅 메시지로 전송합니다.

[그림 5] ZIP 파일과 함께 전송된 탈취 데이터 요약 (출처 : Cyble)

Cyble은 루카 스틸러의 인스턴스가 최소 25개 이상 사용되는 것을 확인했기 때문에, 일부 사이버 범죄자들이 무료로 제안을 받았으나 대규모 배포로 이어질지는 알 수 없다고 보고했습니다.

IOCs

[ Stealer Payload ]

출처

https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/

https://blog.cyble.com/2022/07/25/luca-stealer-source-code-leaked-on-a-cybercrime-forum/

보안관제센터 MIR Team