아키라 스틸러

Akira는 'Akira UnDetector'라는 이름으로 MaaS(Malware-as-a-Service)로 작동하는 전용 웹사이트에서 사용 가능한 정보 탈취 악성코드입니다. 이 웹 플랫폼은 악성 코드를 효과적으로 사용하는 방법에 대한 자세한 지침과 함께 새로운 스틸러 바이너리 인스턴스를 생성하기 위한 사용자 친화적인 인터페이스를 제공합니다. 업데이트 및 명령 및 제어 기능을 위해 Telegram 채널을 사용합니다.

이 다재다능한 악성 코드는 저장된 로그인 자격 증명 및 결제 카드 정보를 포함하여 웹 브라우저에서 데이터를 추출하는 데 능숙합니다. 또한 사용자 이름, 시스템 식별자, 하드웨어 사양, 설치된 소프트웨어 목록 및 네트워크 구성과 같은 다양한 데이터 포인트를 수집하기 위해 시스템 전체를 철저하게 검사합니다. 도난당한 정보는 이후 'GoFile' 온라인 저장소 관리 서비스의 위협 행위자 계정과 Discord 인스턴트 메시징 계정에 업로드됩니다.

아키라 스틸러에서 관찰된 침입 능력

Akira Stealer는 코드를 난독화하고 탐지를 피하기 위해 여러 계층으로 구성된 복잡한 감염 프로세스를 사용합니다. 위협 행위자는 Telegram, C2(Command and Control) 서버, GitHub 등 다양한 플랫폼을 활용하여 작업을 수행합니다. 더욱이 위협 행위자는 자신의 악성 코드가 'FUD(완전 탐지 불가능)'라고 대담하게 주장합니다. 이들은 약 358명의 가입자를 보유한 'Akira'라는 텔레그램 채널을 유지하고 있으며 Malware-as-a-Service 도메인을 통해 서비스를 제공합니다.

연구원들은 '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd'라는 이름의 Akira Stealer 파일을 분석했습니다. 이 파일은 난독화된 코드를 포함하는 CMD 스크립트였습니다. 실행 시 현재 작업 디렉터리에 Hidden.bat 배치 파일을 저장했으며 이 파일도 탐지를 회피했습니다. 이 배치 파일에는 csscript.exe 프로세스를 사용하여 실행하기 위해 tmp.vbs 파일을 통합한 난독화된 PowerShell 스크립트가 포함되어 있습니다.

데이터 도난의 경우 악성코드는 손상된 PC의 이름으로 폴더를 만들어 도난당한 정보를 저장합니다. 이후 Microsoft Edge, Google Chrome, Opera, Mozilla Firefox 및 기타 14개 브라우저를 포함한 다양한 웹 브라우저에서 데이터 추출을 시작합니다.

또한, 도둑은 저장된 신용 카드 정보와 로그인 자격 증명을 포함하여 금융 데이터를 표적으로 삼는 데 능숙합니다. 또한 북마크 데이터, 지갑 확장 정보, 스크린샷 캡처 등을 수집합니다.

정보를 훔치는 악성 코드는 피해자에게 심각한 결과를 초래할 수 있습니다

Akira는 MaaS(Malware-as-a-Service) 모델에서 작동하는 악의적인 정보 도용 악성 코드로, 조직과 개인 사용자 모두에게 심각한 피해를 입힐 수 있는 특히 위험한 형태의 악성 코드입니다. 이는 전용 웹 포털을 통해 적극적으로 전파되고 배포를 위해 Telegram 채널을 사용하는 동시에 손상된 시스템에서 다량의 민감한 데이터를 은밀하게 유출하여 탐지를 회피합니다.

위협 행위자는 장기적으로 탐지할 수 없도록 기술을 지속적으로 조정하여 악의적인 창작물을 다양하게 만들고 감염된 시스템을 효율적으로 제어할 수 있도록 합니다. 텔레그램 채널을 통해 전달되는 정기적인 업데이트는 사이버 범죄자들이 악의적인 목표를 추구하는 데 더욱 힘을 실어주는 역할을 합니다.

Akira Stealer로부터 보호하기 위한 가장 효과적인 접근 방식은 의심스러운 링크 및 이메일 첨부 파일을 처리할 때 주의를 기울이는 것입니다. 신뢰할 수 있는 것처럼 보이는 소스라도 감염 및 데이터 도난의 통로 역할을 할 수 있다는 점을 사용자가 인식하는 것이 중요합니다. 시스템, 네트워크, 애플리케이션 보안을 강화하면 감염 위험을 크게 줄일 수 있습니다. 강력한 보호를 보장하기 위해 적응형 조직 보안 정책과 함께 최신 맬웨어 방지 소프트웨어를 활용하는 것도 마찬가지로 중요합니다.