다크 웹에 배포된 새로운 Infostealer 악성 코드

러시아 해킹 지하 포럼은 항상 맬웨어 배포의 비옥한 땅이었습니다. 보안 연구원들은 최근에야 그러한 포럼 중 하나에서 판매되고 있는 새로운 맬웨어 변종을 발견했습니다.

새로운 악성코드는 정보강탈자 역할을 하며 BlackGuard 라는 이름을 사용 합니다. 이 악성코드는 클라우드 보안 회사인 zScaler의 보안 연구원들이 발견했습니다. 그들은 BlackGuard가 MaaS(Malware-as-a-Service) 기반으로 판매되고 있으며 작성자는 사용 비용으로 월 200달러를 청구하고 있음을 발견했습니다.

BlackGuard는 서비스 및 일회성 구매 모두로 판매됨

맬웨어에 대한 월별 "구독" 요금 외에 작성자는 평생 액세스 권한을 부여하는 700달러의 일회성 선결제도 제공합니다. 월간 구독료가 상대적으로 얼마나 비싼지를 고려할 때 이것은 흥미로운 결정처럼 보입니다.

BlackGuard에는 인포스틸러에서 기대할 수 있는 모든 기능이 포함되어 있습니다. Discord, Telegram 및 Element와 같은 앱에 저장된 메시지 기록은 물론 비밀번호, 양식 데이터 자동 채우기, 브라우저 기록 및 쿠키를 긁어낼 수 있습니다. 악성코드는 또한 이더리움 및 비트코인 을 포함하여 다수의 암호화폐가 포함된 지갑 파일을 표적 으로 삼을 수 있습니다.

zScaler에 따르면 infostealer는 여전히 활발히 개발되고 있지만 잠재적인 계열사 또는 구매자에게 더 매력적으로 만들기 위해 이미 많은 기능을 자랑하고 있습니다. BlackGuard에는 이미 난독화 및 안티 디버깅 기능이 내장되어 있어 infosec 연구원이 더 열심히 일할 수 있습니다.

BlackGuard는 CIS 국가에 위치한 표적을 피합니다.

악성 코드가 설치된 시스템의 원산지 국가를 확인하고 그것이 러시아인지 또는 통칭 독립 국가 연합(Commonwealth of Independent States)이라고 불리는 구소련 공화국인지 확인한다는 점을 감안할 때 멀웨어의 출처가 무엇인지 상상하는 것은 그리 어렵지 않습니다. 프로세스는 단순히 자체적으로 종료됩니다.

infostealer는 대상 시스템에서 찾을 수 있는 모든 데이터를 스크랩한 다음 아카이브 파일에 모든 것을 압축하고 HTTP POST 요청을 사용하여 수집된 정보를 명령 및 제어 서버로 보냅니다.

기능이 더 풍부하고 인기 있는 다른 정보 스틸러가 있지만 연구원들은 BlackGuard가 주목을 받고 있으며 곧 더 위험한 위협으로 성장할 수 있으므로 면밀히 관찰해야 한다고 경고합니다.