Trojan.MSIL.Stealer.gen 악성코드 분석 보고서
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
세인트스틸러(Saintstealer)는 이름에서 알 수 있듯이 인포스틸러(Infostealer) 악성코드로 여러 웹 브라우저와 다양한 프로그램의 계정 정보 및 하드웨어 정보, 특정 파일 등을 탈취하는 기능을 가지고 있습니다.
이렇게 수집된 모든 정보를 취합하여 압축 파일로 만들어 텔레그램 봇을 이용하여 공격자에게 전송하며, 추가 메타 데이터는 공격자가 지정한 C&C 주소로 전송하는 특징을 가지고 있습니다.
또한, 진단을 우회하기 위해 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있습니다.
[그림] 스크린 캡쳐 코드 중 일부
세인트스틸러(Saintstealer)는 Chromium기반 브라우저의 패스워드, 쿠기 및 자동채움 폼(Autofill) 데이터 정보와 디스코드, 텔레그램과 같은 다양한 프로그램 정보도 탈취 기능을 가지고 있습니다.
세인트스틸러는 사용자 정보를 탈취하는 것을 주목적으로 하며, 민감한 사용자 계정 정보를 탈취하기 때문에 추가적인 피해가 야기될 수 있어 각별한 주의가 필요합니다.
최근에 새롭게 등장한 악성코드는 주로 다크넷(Darknet) 시장에서 구독 서비스 형태로 다양한 해킹 관련 프로그램들과 함께 거래되고 있습니다.
따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부 파일 확인을 지양해야 하며 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.
현재 알약에서는 ‘Trojan.MSIL.Stealer.gen’ 으로 진단하고 있습니다.