Google Docs used by infostealer ACRStealer as part of attack
Google Docs used by infostealer ACRStealer as part of attack
An infostealer known as ACRStealer is using legitimate platforms like Google Docs and Steam as part of an attack.
www.malwarebytes.com
- 개요
- ACRStealer 인포스틸러가 Google Docs 및 Steam과 같은 합법적인 플랫폼을 이용해 공격 수행
- 초기 배포 경로는 크랙 및 키젠 파일 다운로드를 통해 전파
- 2024년 중반 베타 테스트 후, 2025년부터 공격 규모 증가
- ACRStealer 기능 및 위협 요소
- 안티바이러스 탐지: 감염된 장비의 설치된 보안 솔루션 식별
- 정보 탈취 기능
- 암호화폐 지갑 및 로그인 자격 증명 탈취
- 웹 브라우저 저장 정보 및 FTP 자격 증명 수집
- 텍스트 파일 내 모든 데이터 읽기 가능
- 개인 정보 및 자격 증명 탈취로 인한 피해
- 금융 계좌 접근 및 자산 탈취
- 이메일, 소셜 미디어 등 계정 무단 접근
- 개인 정보 수집을 통한 신원 도용 및 다크웹 판매
- C2 서버 통신 기법: Dead Drop Resolver(DDR) 활용
- 기존 방식과의 차이점
- IP 주소 하드코딩 제거
- Google Docs 또는 Steam을 통해 C2 도메인 확인
- DDR 기법 장점
- C2 서버 교체 용이: Google 문서만 업데이트하면 도메인 변경 가능
- 보안 탐지 우회:
docs.google.com과의 통신은 정상 트래픽처럼 보임 - 차단 회피: 도메인 차단 시 빠른 재설정 가능
- 기존 방식과의 차이점
- 공격 흐름
- 크랙 및 키젠 파일 다운로드 유도
- 악성코드 실행 시 Google Docs에서 C2 도메인 확인
- 피해자의 시스템 정보 및 자격 증명 수집
- C2 서버로 탈취 데이터 전송 및 추가 명령 수신
- 보안 권고
- 소프트웨어 다운로드 및 설치 시 주의
- 공식 웹사이트 및 신뢰할 수 있는 소스에서만 다운로드
- 크랙 및 키젠 사용 금지
- 피싱 방지 및 사용자 보안 교육
- 의심스러운 링크 및 첨부파일 열람 금지
- 알 수 없는 발신자의 메시지 클릭 자제
- 계정 보안 강화
- 다단계 인증(MFA) 활성화로 계정 탈취 방지
- 자주 사용하는 계정의 비밀번호 정기적 변경
- 보안 솔루션 활용
- 최신 안티멀웨어 및 안티바이러스 솔루션 사용
- 비정상적 Google Docs 트래픽 모니터링
- 소프트웨어 다운로드 및 설치 시 주의
- 결론
- ACRStealer는 합법적인 플랫폼 악용을 통해 탐지를 우회하며 피해 확산
- 사용자 경각심 제고 및 보안 교육을 통해 감염 경로 차단 필요
- 보안 솔루션과 다단계 인증 도입으로 공격 피해 최소화 가능
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 전국 지자체와 개인정보보호위원회, 공공부문 개인정보보호 협력 강화 (0) | 2025.02.24 |
|---|---|
| ICS/OT 사이버 보안 결정을 지원하는 무료 다이어그램 도구 출시 (0) | 2025.02.24 |
| GitHub을 통한 프리랜서 개발자 대상 악성 광고 캠페인 (0) | 2025.02.24 |
| Google 광고를 통한 SecTopRAT 악성코드 유포 캠페인 (0) | 2025.02.24 |
| 가짜 브라우저 업데이트를 통한 NetSupport RAT 및 StealC 악성코드 유포 (0) | 2025.02.24 |