로그 라이크 카드 게임으로 인기 있는 Slay the Spire(슬레이 더 스파이어) 인디 전략 게임의 팬 확장 프로그램인 Downfall은 Steam 업데이트 시스템을 사용하여 Epsilon 정보 도용 악성 코드가 발견되었습니다. 지난 크리스마스 시점에 무료 팬 메이드 모드인 '다운폴(Dwonfall)' 개발자의 스팀 계정이 탈취당해 개인정보 탈취를 위한 입실론 정보 탈취기(Epsilon Information Stealer)가 포함된 상태로 배포되는 사고가 발생했습니다.
해당 악성코드 해쉬값은 다음과 같습니다.
MD5:4F4256490930DAF189251289007E0224
SHA1:0658A45EEADB8718B3A406EBD80F3AE732697DB4
SHA256:1C366D053016F213FF53EA00085DE7A86C58D8F42CA6612220174E50F23F4EE5
개발자의 스팀 계정이 탈취당해 개인정보 탈취를 위한 입실론 정보 탈취기(Epsilon Information Stealer)가 포함된 상태로 배포되는 사고입니다.
문제 발생 시간
대략 12월 25일 오후 1시 30분~오후 2시 30분(동부 표준시)(1830-1930 UTC+0)
먼저 악성코드를 실행하면 다음 폴더에 파일을 폴더 및 파일을 생성합니다.
C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe
그리고 나서 /AppData/Roaming 폴더에 UnityLibManager로 설치하고 나서 UnityLibManager.exe 파일을 실행합니다.
C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe" --type=renderer --user-data-dir="C:\Users\Administrator\AppData\Roaming\UnityLibManager" --app-path="C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\resources\app.asar" --enable-sandbox --lang=ko --device-scale-factor=1 --num-raster-threads=3 --enable-main-frame-before-activation --renderer-client-id=4 --launch-time-ticks=1433673008 --mojo-platform-channel-handle=2360 --field-trial-handle=1896,i,15229932287546488755,851263776431440849,131072 --disable-features=SpareRendererForSitePerProcess,WinRetrieveSuggestionsOnlyOnDemand /prefetch:1
코드 설명
1.C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\UnityLibManager.exe: UnityLibManager.exe 실행 파일의 경로
2.--type=renderer: 실행할 프로그램의 유형을 지정 해당 경우 renderer 유형으로 설정
3.--user-data-dir="C:\Users\Administrator\AppData\Roaming\UnityLibManager":사용자 데이터의 디렉토리를 설정 UnityLibManager가 사용자 데이터를 저장하는 위치
4.--app-path="C:\Users\Administrator\AppData\Local\Temp\2a2opGTkj7tRLj6xRnn9zyH1An1\resources\app.asar:실행할 앱의 경로를 지정 해당 경우 app.asar 파일이 있는 디렉터리
5.--enable-sandbox: 샌드박스 모드를 활성화
6.--lang=ko: 언어를 한국어로 설정
7.--device-scale-factor=1: 장치의 스케일 팩터를 설정
8.--num-raster-threads=3: 사용할 레스터 스레드의 수를 설정
9.--enable-main-frame-before-activation: 활성화 전에 메인 프레임을 활성화
10.--renderer-client-id=4:렌더러 클라이언트 ID를 설정
11.--launch-time-ticks=1433673008: 실행 시간 틱을 설정
12.--mojo-platform-channel-handle=2360:MOJO 플랫폼 채널 핸들을 설정
13.--field-trial-handle=1896,i,15229932287546488755,851263776431440849,131072: 필드 트라이얼 핸들을 설정
14./prefetch:1:Windows의 프리페치(Prefetch)를 사용하여 실행 속도를 높임
그리고 해당 악성코드는 다음과 같은 폴더를 생성합니다.
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Dev\Ftps\Filezilla\filezilla.xml
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Antivirus.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\System Informations.txt
C:\Users\admin\AppData\Local\Temp\Login Data
C:\Users\admin\AppData\Local\Temp\Cookies
C:\Users\admin\AppData\Local\Temp\Web Data
C:\Users\admin\AppData\Local\Temp\formhistory.sqlite
C:\Users\admin\AppData\Local\Temp\Login Data
C:\Users\admin\AppData\Local\Temp\Cookies
C:\Users\admin\AppData\Local\Temp\epsilon-admin\AutoFill Data\Firefox_Default.txt
C:\Users\admin\AppData\Local\Temp\cookies.sqlite
C:\Users\admin\AppData\Local\Temp\cookies.sqlite-shm
C:\Users\admin\AppData\Local\Temp\epsilon-admin\AutoFill Data\All Autofill Data.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Cookies\Firefox_9kie7cg6.default-release.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Credit Cards\All Credit Cards.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Passwords\Firefox_i17fj4h8.default.txt
C:\Users\admin\AppData\Local\Temp\epsilon-admin\Passwords\All Passwords.txt
이며 Network Persistent State에서는 다음과 같은 정보 즉 사용자 정보 관련이 포함돼 있습니다.
{"net":{"http_server_properties":{"servers":[{"alternative_service":
[{"advertised_alpns":["h3"],"expiration":"13351????281","port":443,"protocol_str":"quic"}],
"isolation":[],"server":"https://??????t1(.)com","supports_spdy":true},{"isolation":[],
"network_stats":{"srtt":11009},"server":"https://r??????gxapox-??z6.???(.)com"}],
"supports_quic":{"address":"211.??.??.??","used_quic":true},"version":5},
"network_qualities":{"CAESABiAgICA+P////8B":"4G"}}}Epsilon Stealer는 Telegram 및 Discord를 통해 다른 위협 행위자에게 판매되는 정보 도용 악성 코드이며 해당 생성되는 폴더를 보면 악성 코드는 브라우저(Google Chrome(구글 크롬),Yandex(얀덱스), Microsoft Edge?(마이크로소프트 엣지), Mozilla Firefox(모질라 파이어폭스),Brave(브레이브),Vivaldi?(비발디)) 뿐만 아니라 Steam(스팀)및 Discord(디스코드) 정보에서 쿠키와 저장된 비밀번호, 신용 카드를 수집하는 것을 확인할 수가 있으며 기본적으로 2FA(이단계인증)은 반드시 설정을 하고 사용을 하는 것을 추천합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Firefox 121.0.1(파이어폭스 121.0.1) 중단 및 USB 보안 키 문제를 해결 업데이트 (0) | 2024.01.13 |
|---|---|
| 인도를 겨냥한 공격 추정되는 Crimson RAT-122.docm(2023.10.03) (0) | 2024.01.12 |
| 윈도우 10,윈도우 11 KB5034122,KB5034123 보안 업데이트 (0) | 2024.01.11 |
| 마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 사칭 스캠 사이트-highelp(.)azurewebsites(.)net/Win08ShDMeEr0887(2023.12.20) (0) | 2024.01.09 |
| Konni(코니) 만든 북한 시장 물가 분석 문서 위장 해서 공격 하는 악성코드-주요도시 시장가격 조사 2023.xlsx(2023.12.29) (0) | 2024.01.04 |
| 이셋 모바일 시큐리트 악성코드 의심 파일 신고 방법 (0) | 2024.01.03 |
| NjRat .NET Trojan 악성코드 분석-file.exe(2023.12.13) (0) | 2024.01.01 |
| 모바일 부고 알림 부모님 별세를 악용한 스미싱 악성코드-삼가 부고장.apk(2023.12.12) (0) | 2023.12.29 |
