ACRStealer Malware Abuses Google Docs as C2 to Steal Login Credentials
ACRStealer Malware Abuses Google Docs as C2 to Steal Login Credentials
ACRStealer employs a sophisticated technique known as Dead Drop Resolver (DDR), leveraging legitimate web platforms like Google Docs,
gbhackers.com
- 주요 취약점 및 공격 기법
- ACRStealer는 불법 소프트웨어(크랙, 키젠)로 가장하여 확산되고 있음
- Dead Drop Resolver(DDR) 기법을 사용하여 Google Docs에 실제 C2 도메인을 Base64로 인코딩해 숨김
- 초기 버전은 Steam 페이지의 노출 영역을 이용했으나 최근에는 메타데이터 필드에 C2 문자열을 숨겨 탐지를 회피함
- 데이터 탈취 및 전송 방식
- 악성코드는 하드코딩된 UUID를 사용해 C2 서버로부터 구성 파일을 가져옴
- 구성 파일에는 브라우저 크리덴셜, 암호화폐 지갑, FTP 서버 정보, 이메일 클라이언트 데이터, VPN 정보, 패스워드 매니저 파일 등 탈취할 데이터 유형이 명시됨
- 탈취된 데이터는 ZIP 파일로 압축되어 C2 서버로 전송됨
- 공격 표적 및 위험성
- Chrome, Firefox 등 주요 브라우저와 MetaMask, Trust Wallet과 같은 암호화폐 지갑이 주요 표적임
- AnyDesk와 LastPass를 포함한 원격 액세스 도구 및 패스워드 매니저 파일도 탈취 대상임
- 신뢰할 수 있는 플랫폼인 Google Docs를 악용해 전통적인 탐지 메커니즘을 우회함
- 보안 권고
- 불법 소프트웨어 다운로드를 피하고, 공식 소스에서만 프로그램을 설치할 것
- 조직은 의심스러운 C2 활동을 모니터링하기 위해 네트워크 트래픽 및 DNS 요청을 주기적으로 검사할 것
- 최신 보안 솔루션과 침입 탐지 시스템(IDS/IPS)을 도입해 비정상적 활동을 조기에 탐지할 것
- 결론
- ACRStealer의 Google Docs 악용 사례는 악성코드가 신뢰받는 플랫폼을 어떻게 이용하여 탐지를 회피하는지 보여줌
- 보안팀은 다양한 데이터 탈취 경로를 감시하고, 사용자에게 불법 소프트웨어 다운로드의 위험성을 교육해야 함
- 지속적인 보안 업데이트와 네트워크 모니터링을 통해 이런 위협에 효과적으로 대응할 필요가 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| SPAWNCHIMERA 악성코드, Ivanti Connect Secure 취약점(CVE-2025-0282) 악용 (0) | 2025.03.04 |
|---|---|
| NSA의 Northwestern Polytechnical University 해킹 의혹 (0) | 2025.03.04 |
| Apple, 영국에서 iCloud 고급 데이터 보호 기능 철회 (0) | 2025.03.04 |
| Darcula PhaaS v3, 사이버 범죄자들이 브랜드 웹사이트를 몇 분 만에 복제할 수 있게 함 (0) | 2025.03.04 |
| CL0P 랜섬웨어, 통신 및 의료 분야 대규모 공격 개시 (0) | 2025.03.04 |