SnappyClient 멀웨어
SnappyClient는 C++로 작성되었으며 HijackLoader라는 로더를 통해 배포되는 고도로 정교한 악성 프로그램입니다. 이 프로그램은 원격 접속 트로이목마(RAT)처럼 작동하여 사이버 범죄자들이 감염된 시스템을 제어하고 민감한 데이터를 추출할 수 있도록 합니다. 시스템에 침투한 후에는 명령 및 제어(C2) 서버에 연결하여 명령을 수신하고 악성 작업을 실행합니다.
목차
회피 기술 및 시스템 조작
SnappyClient는 탐지되지 않도록 Windows의 내장 보안 메커니즘을 방해합니다. 주요 전략 중 하나는 악성 행위를 탐지하는 스크립트 및 코드 검사 도구인 AMSI(Antimalware Scan Interface)를 변조하는 것입니다. AMSI가 위협을 탐지하도록 허용하는 대신, 이 악성 프로그램은 AMSI의 출력 결과를 조작하여 악성 활동이 안전해 보이도록 만듭니다.
이 악성 프로그램은 동작 방식을 결정하는 내부 구성 목록에 의존합니다. 이러한 설정은 수집되는 데이터의 종류, 저장 위치, 지속성 유지 방법, 특정 조건에서 실행이 계속될지 여부 등을 결정합니다. 이러한 구성 덕분에 시스템을 재부팅한 후에도 악성 프로그램은 계속 활성화 상태를 유지합니다.
또한 SnappyClient는 공격자가 제어하는 서버에서 암호화된 파일 두 개를 가져옵니다. 이 파일들은 은폐된 형식으로 저장되며 감염된 시스템에서 악성 프로그램의 기능을 동적으로 제어하는 데 사용됩니다.
광범위한 시스템 제어 기능
SnappyClient는 공격자에게 감염된 기기에 대한 심층적인 제어 권한을 제공합니다. 스크린샷을 캡처하여 원격 운영자에게 전송함으로써 사용자 활동을 직접 파악할 수 있습니다. 또한, 이 악성 프로그램은 완전한 프로세스 관리 기능을 제공하여 공격자가 실행 중인 프로세스를 모니터링, 일시 중지, 재개 또는 종료할 수 있도록 합니다. 나아가, 정상적인 프로세스에 코드를 삽입하는 기능을 지원하여 시스템 내에서 은밀하게 작동할 수 있도록 합니다.
파일 시스템 조작 또한 핵심 기능 중 하나입니다. 이 악성 프로그램은 디렉토리를 탐색하고, 파일과 폴더를 생성 또는 삭제할 수 있으며, 암호로 보호된 아카이브를 포함하여 복사, 이동, 이름 변경, 압축 또는 압축 해제와 같은 작업을 수행할 수 있습니다. 또한 파일을 실행하고 바로가기를 분석할 수도 있습니다.
데이터 절도 및 감시 기능
SnappyClient의 주요 목적은 데이터 유출입니다. 이 프로그램에는 키 입력을 기록하고 캡처된 데이터를 공격자에게 전송하는 내장 키로거가 포함되어 있습니다. 뿐만 아니라 로그인 자격 증명, 쿠키, 검색 기록, 북마크, 세션 데이터, 확장 프로그램 관련 정보 등 브라우저 및 기타 애플리케이션에서 다양한 민감한 정보를 추출합니다.
이 악성 프로그램은 공격자가 정의한 파일 이름이나 경로와 같은 필터를 기반으로 특정 파일이나 디렉터리를 검색하고 탈취할 수도 있습니다. 또한, 데이터 유출 외에도 원격 서버에서 파일을 다운로드하여 감염된 시스템에 로컬로 저장할 수 있습니다.
고급 실행 및 활용 기능
SnappyClient는 악성 페이로드를 실행하는 다양한 방법을 지원합니다. 표준 실행 파일을 실행하거나, 동적 링크 라이브러리(DLL)를 로드하거나, 압축 파일에서 콘텐츠를 추출하여 실행할 수 있습니다. 또한 공격자는 작업 디렉터리 및 명령줄 인수와 같은 실행 매개변수를 정의할 수 있습니다. 경우에 따라 사용자 계정 제어(UAC)를 우회하여 관리자 권한을 획득하려고 시도하기도 합니다.
그 밖에도 주목할 만한 기능으로는 숨겨진 브라우저 세션을 실행할 수 있는 기능이 있는데, 이를 통해 공격자는 사용자가 인지하지 못하는 사이에 웹 활동을 모니터링하고 조작할 수 있습니다. 또한 시스템 명령을 원격으로 실행할 수 있는 명령줄 인터페이스도 제공합니다. 클립보드 조작 역시 위험한 기능으로, 공격자가 제어하는 주소로 암호화폐 지갑 주소를 바꿔치기하는 데 자주 사용됩니다.
대상 애플리케이션 및 데이터 소스
SnappyClient는 웹 브라우저 및 암호화폐 도구를 비롯한 다양한 애플리케이션에서 정보를 추출하도록 설계되었습니다.
대상 웹 브라우저는 다음과 같습니다.
360 브라우저, 브레이브, 크롬, 코코크, 엣지, 파이어폭스, 오페라, 슬림젯, 비발디, 워터폭스
대상 암호화폐 지갑 및 도구는 다음과 같습니다.
코인베이스, 메타마스크, 팬텀, 트론링크, 트러스트월렛
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite 및 Wasabi
이처럼 광범위한 표적 공격은 금융 사기 및 자격 증명 유출 가능성을 크게 높입니다.
기만적인 유통 방식
SnappyClient는 주로 사용자를 속여 악성 파일을 실행하도록 유도하는 기만적인 배포 기법을 통해 유포됩니다. 일반적인 방법 중 하나는 합법적인 통신 회사를 사칭하는 가짜 웹사이트를 이용하는 것입니다. 이러한 사이트에 접속하면 피해자의 기기에 HijackLoader가 자동으로 다운로드됩니다. HijackLoader가 실행되면 SnappyClient가 설치됩니다.
또 다른 공격 전략은 트위터와 같은 소셜 미디어 플랫폼을 악용하는 것입니다. 공격자는 사용자가 다운로드를 시작하도록 유도하는 링크나 지침을 게시하며, 때로는 ClickFix와 같은 기술을 사용하기도 합니다. 이러한 행위는 결국 HijackLoader의 실행과 악성코드 설치로 이어집니다.
감염의 위험성과 영향
SnappyClient는 은밀성, 다재다능함, 광범위한 기능으로 인해 심각한 사이버 보안 위협이 됩니다. 일단 배포되면 공격자는 사용자 활동을 모니터링하고, 민감한 정보를 탈취하고, 시스템 작업을 조작하고, 추가적인 악성 페이로드를 실행할 수 있습니다.
이러한 감염의 결과는 계정 탈취, 신원 도용, 금전적 손실, 추가 악성코드 감염 및 장기적인 시스템 손상 등 심각할 수 있습니다.
