Atros Infostealer 관련 이슈

2017. 3. 28. 18:46

최근 Atros InfoStealer의 새로운 변종이 활개를 치고있습니다.

 

Atros 악성 코드는 컴퓨터의 기밀 정보 (예:로그인 세부 정보, 암호)를 수집합니다.
재무 정보는 C&C 서버로 전송됩니다.

 

1

 

감염 경로로는 다음과 같습니다.

 

먼저 멀웨어는 다음 파일을 시스템에 추가합니다.
• %Userprofile%\Application Data\oougw.exe
• %Userprofile%\Local Settings\Application Data\ GDIPFONTCACHEV1.DAT
• %Userprofile%\All Users\Application Data \ [Computer Name] [Date] .jpg [Computer Screen Shot]

 

멀웨어는 Windows 레지스트리에 다음 키를 추가하여 시작 중에 트로이 목마가 실행되는지 확인합니다.
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\cd482369-09b5-4f6f-929d-87c40c6be1bc
• “%Userprofile%\Application Data\oougw.exe”

컴퓨터가 손상되면 멀웨어는 자체 실행 파일을 Userprofile 폴더에 복사합니다.


 

 

멀웨어의 목표는 최대한 많은 데이터를 수집하는 것입니다.
수집 된 사용자 정보의 수준에 기반한 공격자의 이익. 따라서 더 많은 정보를 수집하면
더 높은 수익을 얻을 수 있습니다.

 

멀웨어는 키 로깅을 수행하고, 스크린 샷을 취하고,
대상 사용자의 클립 보드 데이터를 도용합니다.


3

 

멀웨어는 대상 컴퓨터에 키 로거를 설치하고 다음 웹 브라우저에서 암호를 추출합니다.
• Chrome
• Firefox
• Internet Explorer
• Opera
• Safari

 

멀웨어는 데이터를 Browsers.txt 파일에 저장하고 자체 C&C 서버로 전송합니다.

 

Atros80번 포트를 통해 C&C 통신을 수행합니다.
악성 코드는 다음과 같은 형식으로 컴퓨터 정보를 자체 C&C 서버로 보냅니다.

 

 

이러한 멀웨어의 피해를 최소화 하기위해 우선적으로 해야할 일은
첫째, 사용하고 있는 PC의 윈도우 및 백신 프로그램을 최신버전으로 업그레이드 해야합니다.
둘째, C&C 서버로 보내지는 것을 차단하기 위해 사내에서 사용하는 방화벽,
네트워크 구간에서 차단하면 피해를 최소화 할 수 있습니다.

 

이번시간에는 Atros InfoStealer 변종관련 이슈에 대한 포스팅 시간이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.

 

 

 

 

Posted by 로버무트

댓글을 달아 주세요