이메일 계정 정보 탈취...선더버드와 아웃룩 계정 정보 훔쳐가

[보안뉴스 김영명 기자] 최근 스페인 사용자를 대상으로 정보유출형 악성코드인 스트렐라스틸러(StrelaStealer)가 유포 중인 것을 확인했다. 스트렐라스틸러 악성코드는 지난해 11월경 처음 발견됐으며, 스팸 메일의 첨부파일을 통해 유포되고 있다. 기존 첨부파일에는 ISO 파일이 이용돼왔으나, 최근에는 ZIP 파일을 이용하고 있다.

​

[이미지=gettyimagesbank]

안랩 ASEC 분석팀에 따르면, 최근 유포 중인 스트렐라스틸러 악성코드가 포함된 이메일을 열어 보면 스페인어로 작성된 본문과 압축 파일명을 확인할 수 있다. 본문에는 비용 지불 내용과 함께 첨부된 송장을 확인하도록 유도하고 있다. 첨부된 파일은 ZIP 파일로 내부에 PIF 파일이 존재한다. PIF 파일은 실제 악성 행위를 수행하는 스트렐라스틸러로 이메일 계정 정보를 탈취하는 악성코드다.

악성코드가 실행되면, 먼저 ‘컴퓨터명’과 ‘strela’ 문자열을 XOR[6자리] 한 값으로 뮤텍스를 생성한다. 이후 선더보드 및 아웃룩 정보를 수집하게 되는데, 이때 관련 정보가 존재하지 않는 경우 메시지 박스를 생성 후 종료한다.

​

▲스트렐라스틸러 악성코드 유포 메일[자료=안랩 ASEC 분석팀]

메시지 박스는 이메일과 동일하게 스페인어로 작성됐으며, 파일이 손상돼 실행할 수 없다는 내용이 포함돼 있다. 해당 메시지 박스를 통해 사용자는 손상된 파일로 생각할 수 있어 악성코드가 실행된 것을 인지하기 어렵다.

탈취하는 정보 중 첫 번째는 선더버드 계정 정보이며, 아래 경로의 파일을 읽어 명령제어(C2) 서버로 전송한다. 두 번째 탈취 정보는 아웃룩 계정 정보로, 아래 레지스트리 값을 읽어 C2로 전송한다. 추가로, ‘IMAP Password’ 값의 경우 CryptUnprotectData API를 통해 데이터를 복호화 후 전송한다.

안랩 ASEC 분석팀은 “최근 스페인 사용자들을 대상으로 이메일 계정 정보를 탈취하는 악성코드 유포가 확인되고 있으며 탈취된 정보를 통해 추가 피해가 발생할 수 있어 주의가 필요하다”고 말했다. 이어 “사용자는 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다”며 “주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트하는 것이 필요하다”고 강조했다.

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=118450&page=2&mkind=1&kind=1)]​