꿈을꾸는 파랑새

로그 라이크 카드 게임으로 인기 있는 Slay the Spire(슬레이 더 스파이어) 인디 전략 게임의 팬 확장 프로그램인 Downfall은 Steam 업데이트 시스템을 사용하여 Epsilon 정보 도용 악성 코드가 발견되었습니다. 지난 크리스마스 시점에 무료 팬 메이드 모드인 '다운폴(Dwonfall)' 개발자의 스팀 계정이 탈취당해 개인정보 탈취를 위한 입실론 정보 탈취기(Epsilon Information Stealer)가 포함된 상태로 배포되는 사고가 발생했습니다.
해당 악성코드 해쉬값은 다음과 같습니다.
MD5:4F4256490930DAF189251289007E0224
SHA1:0658A45EEADB8718B3A406EBD80F3AE732697DB4
SHA256:1C366D053016F213FF53EA00085DE7A86C58D8F42CA6612220174E50F23F4EE5
개발자의 스팀 계정이 탈취당해 개인정보 탈취를 위한 입실론 정보 탈취기(Epsilon Information Stealer)가 포함된 상태로 배포되는 사고입니다.

UnityLibManager.exe.dis 악성코드 실행
UnityLibManager.exe.dis 악성코드 실행

문제 발생 시간

대략 12월 25일 오후 1시 30분~오후 2시 30분(동부 표준시)(1830-1930 UTC+0)
먼저 악성코드를 실행하면 다음 폴더에 파일을 폴더 및 파일을 생성합니다.

UnityLibManager.eUnityLibManager.exe.dis 악성코드 의해 생성된 폴더 및 파일
UnityLibManager.exe.dis 악성코드 의해 생성된 폴더 및 파일

C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe

그리고 나서 /AppData/Roaming 폴더에 UnityLibManager로 설치하고 나서 UnityLibManager.exe 파일을 실행합니다.
C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe" --type=renderer --user-data-dir="C:\Users\Administrator\AppData\Roaming\UnityLibManager" --app-path="C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\resources\app.asar" --enable-sandbox --lang=ko --device-scale-factor=1 --num-raster-threads=3 --enable-main-frame-before-activation --renderer-client-id=4 --launch-time-ticks=1433673008 --mojo-platform-channel-handle=2360 --field-trial-handle=1896,i,15229932287546488755,851263776431440849,131072 --disable-features=SpareRendererForSitePerProcess,WinRetrieveSuggestionsOnlyOnDemand /prefetch:1

UnityLibManager 악성코드 작동
UnityLibManager 악성코드 작동

코드 설명

1.C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe: UnityLibManager.exe 실행 파일의 경로
2.--type=renderer: 실행할 프로그램의 유형을 지정 해당 경우 renderer 유형으로 설정
3.--user-data-dir="C:\Users\Administrator\AppData\Roaming\UnityLibManager":사용자 데이터의 디렉토리를 설정 UnityLibManager가 사용자 데이터를 저장하는 위치
4.--app-path="C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\resources\app.asar:실행할 앱의 경로를 지정 해당 경우 app.asar 파일이 있는 디렉터리
5.--enable-sandbox: 샌드박스 모드를 활성화
6.--lang=ko: 언어를 한국어로 설정
7.--device-scale-factor=1: 장치의 스케일 팩터를 설정
8.--num-raster-threads=3: 사용할 레스터 스레드의 수를 설정
9.--enable-main-frame-before-activation: 활성화 전에 메인 프레임을 활성화
10.--renderer-client-id=4:렌더러 클라이언트 ID를 설정
11.--launch-time-ticks=1433673008: 실행 시간 틱을 설정
12.--mojo-platform-channel-handle=2360:MOJO 플랫폼 채널 핸들을 설정
13.--field-trial-handle=1896,i,15229932287546488755,851263776431440849,131072: 필드 트라이얼 핸들을 설정
14./prefetch:1:Windows의 프리페치(Prefetch)를 사용하여 실행 속도를 높임

그리고 해당 악성코드는 다음과 같은 폴더를 생성합니다.

C:\Users\admin\AppData\Local\Temp\epsilon-admin\Dev\Ftps\Filezilla\filezilla.xml
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Antivirus.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\System Informations.txt
C:\Users\admin\AppData\Local\Temp\Login Data
C:\Users\admin\AppData\Local\Temp\Cookies
C:\Users\admin\AppData\Local\Temp\Web Data
C:\Users\admin\AppData\Local\Temp\formhistory.sqlite
C:\Users\admin\AppData\Local\Temp\Login Data
C:\Users\admin\AppData\Local\Temp\Cookies
C:\Users\admin\AppData\Local\Temp\epsilon-admin\AutoFill Data\Firefox_Default.txt
C:\Users\admin\AppData\Local\Temp\cookies.sqlite
C:\Users\admin\AppData\Local\Temp\cookies.sqlite-shm
C:\Users\admin\AppData\Local\Temp\epsilon-admin\AutoFill Data\All Autofill Data.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Cookies\Firefox_9kie7cg6.default-release.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Credit Cards\All Credit Cards.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Passwords\Firefox_i17fj4h8.default.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Passwords\All Passwords.txt

 

이며 Network Persistent State에서는 다음과 같은 정보 즉 사용자 정보 관련이 포함돼 있습니다.

Network Persistent State 에 포함된 정보
Network Persistent State 에 포함된 정보

{"net":{"http_server_properties":{"servers":[{"alternative_service":
[{"advertised_alpns":["h3"],"expiration":"13351????281","port":443,"protocol_str":"quic"}],
"isolation":[],"server":"https://??????t1(.)com","supports_spdy":true},{"isolation":[],
"network_stats":{"srtt":11009},"server":"https://r??????gxapox-??z6.???(.)com"}],
"supports_quic":{"address":"211.??.??.??","used_quic":true},"version":5},
"network_qualities":{"CAESABiAgICA+P////8B":"4G"}}}

Epsilon Stealer는 Telegram 및 Discord를 통해 다른 위협 행위자에게 판매되는 정보 도용 악성 코드이며 해당 생성되는 폴더를 보면 악성 코드는 브라우저(Google Chrome(구글 크롬),Yandex(얀덱스), Microsoft Edge?(마이크로소프트 엣지), Mozilla Firefox(모질라 파이어폭스),Brave(브레이브),Vivaldi?(비발디)) 뿐만 아니라 Steam(스팀)및 Discord(디스코드) 정보에서 쿠키와 저장된 비밀번호, 신용 카드를 수집하는 것을 확인할 수가 있으며 기본적으로 2FA(이단계인증)은 반드시 설정을 하고 사용을 하는 것을 추천합니다.

728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band