✅ 보고서 제목: StealC V2 악성코드 상세 분석
✅ 보고서 요약:
- StealC는 2023년 1월경 DDW(Deep & Dark Web) 포럼에서 "plymouth"라는 사용자가 처음 광고한 C언어 기반의 정보 탈취형 악성코드입니다.
- 2025년 3월, "plymouth" 유저는 StealC V2를 출시하며 새로운 코드베이스, 서버 사이드 브라우저 쿠키 및 복호화 기능(크로미움 기반), 그리고 서버 사이드 패스워드 무작위 대입 공격(bruteforcing) 기능이 추가되었다고 발표하였습니다.
- StealC V2는 브라우저 크리덴셜을 자체적으로 복호화하지 않고, Login Data나 Cookies 같은 DB 파일 원본과 마스터 키를 C2 서버로 탈취하여 서버에서 직접 해독합니다. 또한, 대용량 파일 전송 시 청크 방식으로 데이터를 유출하는 기능을 포함합니다.
- StealC V2는 loader 타입 명령을 통해 추가 페이로드 다운로드 및 실행을 제어할 수 있으며, PE 파일 실행, PowerShell 실행, MSI 설치 프로그램 사용 등 3가지 유형을 지원합니다.
- StealC는 C2 서버와 통신하며 동적으로 구성 정보를 획득하여 정보 탈취 대상을 설정하는 특징을 가지고 있습니다.
📌 StealC V2 악성코드는 어떻게 실행되나요?
- String decode: 악성코드 실행 시 필요한 WinAPI 함수명 및 문자열 디코딩
- Region Validation: CIS 국가를 공격하지 않기 위해 감염 기기의 언어 환경을 검사
- Time-based evasion: 시스템 시간 정보를 확인하여 특정 시간 이후에는 실행되지 않도록 설정
- Stealing Tasks: C2 서버와 HTTP/S POST 통신을 수행하여 구성 정보를 획득하고 사용자 정보를 탈취, 모든 유출 데이터는 Base64로 인코딩되어 전송됨
📌 StealC V2 악성코드의 특징은 무엇인가요?
- 동적 C2 통신 기반 정보 탈취 대상 설정: StealC는 C2 서버와의 통신을 통해 동적으로 구성 정보를 획득하며, 이를 기반으로 정보 탈취를 수행할 타겟 목록을 설정합니다. 이는 악성코드의 유연성을 높여 공격자가 손쉽게 타겟을 변경하거나 업데이트할 수 있도록 합니다.
- 서버-사이드 복호화 및 유출 메커니즘: StealC V2는 크로미움 기반 브라우저의 경우 암호화 키와 원본 파일을 유출하여 서버에서 직접 복호화할 수 있는 기능을 갖추고 있습니다. 유출하는 각 파일은 클라이언트 측에서 아카이브를 생성하지 않고, 개별 HTTP 요청으로 서버에 즉시 전송되어 안티바이러스의 실시간 탐지를 우회하고 데이터 손실을 최소화합니다.
- 분석 방해 및 회피 기법: 악성코드 실행에 필요한 문자열 및 WinAPI 함수명을 RC4 알고리즘으로 암호화하여 디코딩하며, CIS 국가를 대상으로 악성 행위를 수행하지 않도록 언어 검사를 수행합니다. 또한, 시스템 시간 정보를 조회하여 특정 시간 이후에는 실행되지 않도록 설정함으로써 분석을 방해하는 Time-based evasion 기법을 사용합니다. 과거 버전에서 존재했던 안티-샌드박스 기능이 삭제되었고, 중복 실행 방지 기능은 실질적인 효과가 미미한 것으로 확인됩니다.
- 추가 페이로드 다운로드 및 실행 기능: StealC는 C2 서버의 명령을 통해 추가 페이로드를 다운로드하고 실행할 수 있으며, 다양한 방식을 지원하여 공격자가 감염 시스템에 추가적인 악성 기능을 주입할 수 있도록 합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
StealC V2는 동적 설정, 서버-사이드 복호화, 분석 회피, 추가 페이로드 실행 기능을 갖춘 고도화된 정보 탈취형 악성코드로, 지속적인 버전 업데이트를 통해 탈취 항목의 유형과 범위가 확대되고 있어 보안 위협에 대한 각별한 주의가 요구됩니다.
보다 구체적인 분석 및 대응 방안은 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.