Multistage Info-Stealer SnakeKeylogger Targets Individuals and Businesses to Steal Login Credentials
Multistage Info-Stealer SnakeKeylogger Targets Individuals and Businesses to Steal Login Credentials
SnakeKeylogger, a sophisticated multistage malware, has emerged as a significant threat to both individuals and businesses.
gbhackers.com
- 위협 개요
- SnakeKeylogger는 다단계 구조와 인메모리 실행을 특징으로 하는 고도화된 정보 탈취형 악성코드
- 개인 사용자뿐 아니라 기업을 대상으로 웹 브라우저, 이메일 클라이언트, FTP 클라이언트에서 자격 증명 탈취 수행
- 감염 경로는 주로 스팸 메일에 포함된 .img 파일 첨부를 통한 사용자 기만 방식
- 감염 체인 및 기술적 전술
- 1단계: 첨부된
.img파일을 열면 가상 드라이브 생성, 내부에 PDF 위장 실행 파일 포함 - 2단계: 실행 파일이 다운로더 및 로더 역할 수행, 원격 서버로부터 미디어 파일로 위장한 페이로드 수신
- 3단계: 수신 페이로드는 디스크 기록 없이 메모리 내 복호화 후 실행, 탐지 회피
- 4단계: 난독화된 DLL을 메모리 내 로딩하고, 정상 프로세스에 코드 인젝션
- 특히 .NET Framework 관련 프로세스(InstallUtil.exe) 대상으로 프로세스 할로잉 기법 사용
- 이 과정에서 정상 프로세스의 메모리를 언매핑하고, 악성 코드를 삽입 후 재개
- 1단계: 첨부된
- 주요 표적 및 영향
- 자격 증명 수집 대상 애플리케이션
- 웹 브라우저: Chrome, Firefox
- 이메일 클라이언트: Outlook, Thunderbird
- FTP 클라이언트: FileZilla
- 시스템 레지스트리 내 이메일 설정 및 계정 정보 추출
- 다단계 인증(MFA)을 우회할 수 있는 잠재적 위협
- 탈취된 정보는 기업 이메일 침해(BEC), 추가 침입, 다크웹 판매 등에 악용 가능
- 자격 증명 수집 대상 애플리케이션
- 인프라 및 지속성
- 공격자는 Apache 웹 서버 기반의 인프라를 통해 악성 페이로드를 지속적으로 호스팅 및 갱신
- 암호화된 페이로드와 파일 위장 기법, 프로세스 은닉 기술을 통해 보안 솔루션 회피
- 결론
- SnakeKeylogger는 고전적인 피싱 기반 유포 전략과 현대적인 인메모리 공격, 프로세스 은닉, 암호화 기법을 결합하여 탐지 회피 및 침투 성공률을 극대화
- 기업 보안 관점에서는 첨부파일 차단 정책 강화, SIEM 기반 메모리 탐지 로직 추가, InstallUtil.exe의 비정상 실행 모니터링이 중요
- FTP 클라이언트 및 이메일 클라이언트 보안 설정 점검 및 자격 증명 저장 제한 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CAPE 악성코드 분석 샌드박스 플랫폼 기능 분석 (0) | 2025.05.07 |
|---|---|
| 정식 도구 및 브라우저 확장을 악용한 악성코드 유포 기법 고도화 분석 (1) | 2025.05.07 |
| Raspberry Robin 위협 그룹, 약 200개의 고유 C2 도메인 기반 인프라 드러나 (0) | 2025.05.07 |
| .NET MAUI 기반 안드로이드 악성코드 캠페인: 인도 및 중국 사용자를 노린 위장 앱 유포 (0) | 2025.05.07 |
| SaaS와 Web2에서 배우는 AI 거버넌스의 교훈 (0) | 2025.05.06 |