Trojan.Agent.Danabot 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2018년 5월 해외에서 활동하는 뱅킹/인포스틸러 악성코드로 Danabot이 처음 등장했습니다. 이 악성코드는 매년 코드를 업그레이드하며 버전 3까지 출현한 것으로 알려졌습니다. 그 뒤로 자취를 감춘 Danabot은 최근 다시 활동하기 시작했습니다.

 

해당 악성코드는 감염된 PC를 통해 사용자 개인 정보를 공격자 서버 C&C로 전송합니다. 따라서 과거부터 진행되어 왔던 공격이니 만큼 사용자들이 사용하는 크리덴셜 정보(로그인 정보, 개인 신상 정보 등)들이 공격자에게 노출될 수 있어 주의가 필요합니다.

 

[그림] 악성 DLL 실행 코드 중 일부

‘Trojan.Agent.Danabot’은 C&C에 사용자 PC 정보, 브라우저 사용자 정보, 히스토리 정보, FTP, Mail, 메신저 정보 등 사용자의 민감한 정보를 탈취 기능과 감염 PC를 통제할 수 있는 원격제어 기능이 존재합니다.

 

감염 시, 로컬에서 사용된 사용자 정보(쿠키, 키보드 입력, 화면 등) 정보를 통하여 민감한 정보들이 유출 가능하고 원격제어 기능을 통한 추가 악성 행위가 가능하기 때문에 사용자들의 주의가 필요합니다.

 

현재 알약에서는 해당 악성코드를 ‘Trojan.Agent.Danabot’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.