EDDIESTEALER Malware

새로운 악성코드 캠페인이 등장하여 EDDIESTEALER라는 Rust 기반 고급 정보 탈취 도구를 배포하고 있습니다. 공격자는 ClickFix라는 교묘한 소셜 엔지니어링 전략을 활용하여 가짜 CAPTCHA 확인 페이지를 통해 사용자를 유인하여 악성 스크립트를 실행합니다. EDDIESTEALER는 활성화되면 사용자 인증 정보, 브라우저 데이터, 암호화폐 지갑 정보와 같은 민감한 데이터를 수집합니다.

감염 사슬: 가짜 CAPTCHA에서 본격적인 정보 탈취범까지

공격은 합법적인 웹사이트가 악성 자바스크립트 페이로드에 감염되는 것으로 시작됩니다. 방문자에게는 3단계 절차를 통해 "로봇이 아님을 증명하세요"라는 가짜 CAPTCHA 페이지가 표시됩니다.
이 과정에는 다음이 포함됩니다.

• Windows 실행 대화 상자를 엽니다.
• 미리 복사한 명령을 붙여넣습니다.
• 자신을 검증하기 위해 실행합니다.

겉보기에 무해해 보이는 이 행위는 원격 서버(llll[.]fit)에서 다음 단계 페이로드를 가져오는 난독화된 PowerShell 명령을 실행합니다.

페이로드 배치 및 은밀한 실행

악성 JavaScript(gverify.js)는 피해자의 다운로드 폴더에 저장되고 cscript를 사용하여 자동으로 실행됩니다. 이 중간 스크립트의 역할은 동일한 원격 서버에서 EDDIESTEALER 바이너리를 검색하여 다운로드 폴더에 12자리의 무작위 파일 이름으로 저장하는 것입니다.

EDDIESTEALER 맬웨어는 다음과 같은 기능을 수행할 수 있습니다.

• 시스템 메타데이터를 수집합니다.
• 명령 및 제어(C2) 서버로부터 지시를 받습니다.
• 브라우저 데이터, 암호화폐 지갑, 비밀번호 관리자, FTP 클라이언트, 메시징 앱 등 감염된 시스템에서 데이터를 추출합니다.

대상은 C2 연산자로 조정할 수 있습니다. 파일 액세스는 CreateFileW, GetFileSizeEx, ReadFile, CloseHandle과 같은 표준 kernel32.dll 함수를 사용하여 처리됩니다.

데이터 유출 및 분석 방지 기능

각 작업 후 수집된 데이터는 암호화되어 별도의 HTTP POST 요청을 통해 C2 서버로 전송됩니다. 맬웨어는 탐지되지 않기 위해 다음을 사용합니다.

• 문자열 암호화.
• API 호출을 해결하기 위한 사용자 정의 WinAPI 조회 메커니즘입니다.

• 단 하나의 인스턴스만 실행되도록 하는 뮤텍스.

• 샌드박스 환경을 확인하고, 감지되면 삭제합니다.

EDDIESTEALER는 파일 잠금을 우회하기 위해 Latrodectus 맬웨어가 사용하는 기술과 유사하게 NTFS 대체 데이터 스트림의 이름을 변경하여 자기 자신을 삭제할 수도 있습니다.

ChromeKatz를 통한 크롬 악용

이 악성코드의 가장 우려스러운 기능 중 하나는 Chromium의 앱 기반 암호화를 우회하는 기능입니다. Chromium 기반 브라우저에서 쿠키와 사용자 인증 정보를 추출하도록 설계된 오픈소스 도구인 ChromeKatz의 Rust 구현체를 통합합니다.

대상 브라우저가 실행 중이 아니면 EDDIESTEALER는 '--window-position=-3000,-3000 https://google.com 명령'을 사용하여 숨겨진 브라우저 인스턴스를 시작합니다. 이를 통해 '-utility-sub-type=network.mojom.NetworkService' 자식 프로세스와 연결된 메모리에 접근하여 궁극적으로 자격 증명을 추출합니다.

업데이트된 변형의 확장된 기능

EDDIESTEALER의 최신 버전은 다음 항목도 수집할 수 있습니다.

• 실행 중인 프로세스.
• GPU 세부정보.
• CPU 코어 수, CPU 이름, 공급업체.
• 시스템 정보(작업 구성 전에도 서버로 전송됨).

또한, 클라이언트-서버 통신에 사용되는 암호화 키는 바이너리에 하드코딩되어 운영 보안을 강화합니다. 또한, 스틸러는 '--remote-debugging-port=' 옵션을 사용하여 새로운 Chrome 프로세스를 실행하여 DevTools 프로토콜을 통한 헤드리스 브라우저 상호작용을 활성화할 수 있으며, 사용자 상호작용은 필요하지 않습니다.

크로스 플랫폼 ClickFix 캠페인

EDDIESTEALER에 Rust를 사용한 것은 맬웨어 개발자들 사이에서 은밀함, 안정성, 탐지 회피를 위해 최신 언어 기능을 활용하는 추세가 증가하고 있음을 보여줍니다.

이 캠페인은 공격자들이 여러 플랫폼에서 ClickFix 전술을 활용하려는 광범위한 노력의 일환입니다. c/side 연구원들은 macOS, Android, iOS를 대상으로 유사한 공격을 관찰했습니다. macOS의 경우, 악성 JavaScript는 피해자에게 터미널 셸 스크립트를 실행하도록 지시하는 페이지로 리디렉션하여 Atomic macOS Stealer(AMOS)를 배포합니다.

Android, iOS 및 Windows 방문자의 경우 드라이브바이 다운로드 방식으로 별도의 트로이 목마 맬웨어가 배포되므로 매우 다양하고 여러 플랫폼에 영향을 미치는 위협입니다.

결론

EDDIESTEALER 캠페인은 정교한 악성 코드 개발과 결합된 소셜 엔지니어링의 효과를 보여줍니다. 고급 Rust 기반 코어, 크로스 플랫폼 적응성, 그리고 브라우저 보안 기능 우회 기능은 조직과 개인이 사이버 보안 태세에 있어 경계를 늦추지 않고 선제적으로 대응해야 할 필요성이 커지고 있음을 보여줍니다.