Resources

The History of BlackGuard Stealer

Date 2022. 05. 13

Introduction of BlackGuard Stealer


최근 NFT를 비롯한 블록체인 시장이 빠르게 확대되면서 사이버 범죄자들은 주로 스틸러 악성코드를 이용해 개인 PC에 저장된 주요 정보와 데이터를 훔치고 있습니다. 더불어 최근 전 세계 대기업을 상대로 데이터 해킹을 시도하고 있는 LAPSUS$ 그룹이 스틸러 악성코드를 통해 도용한 주요 데이터를 주로 사용한 것으로 알려지면서 스틸러 악성코드에 대한 리스크가 과거에 비해 크게 높아지고 있습니다.


스틸러 악성코드는 감염된 PC에서 주요 정보를 빼내는 악성코드의 일종으로 RedLine, Raccoon, Vidar 등 다양한 스틸러가 존재하는데, 최근 S2W가 딥/다크웹 포럼에서 활발하게 홍보하고 있는 BlackGuard 스틸러에 대한 분석을 실시해 공개했습니다. 또한 새로운 버전이 배포되는 것이 확인됨에 따라 BlackGuard 스틸러의 역사를 정리하여 공유하고자 합니다.


Timeline of BlackGuard Stealer

BlackGuard 스틸러를 개발·판매하는 운영사가 2021년 3월 21일 다크웹 포럼인 XSS에 New Stealer라는 제목으로 BlackGuard에 대한 첫 홍보글을 올렸다. 다만 해당 게시물은 보증금을 보내지 않아 폐쇄됐고, 약 한 달 뒤인 2021년 4월 8일 추가로 올린 홍보글 도 같은 이유로 잠정적 중단되었습니다. 이후 BlackGuard 스틸러와 관련된 활동은 없었지만 2022년 1월 보증금을 보내고 제품을 테스트하는 등 본격적인 활동이 시작되었습니다. BlackGuard 스틸러의 운영자이자 개발자는 를 판매하기 전, RunPE라는 프로그램을 판매한 바 있습니다.

BlackGuard 운영자들이 2021년 3월에 발표한 첫 번째 홍보 게시물에 따르면, 블랙가드의 초기 버전은 오픈 소스 StormKitty에서 일부 코드를 빌렸습니다. 다만 BlackGuard의 코드는 '44Caliber', 'Echelon Stiller'와 유사한 것으로 확인되었습니다. BlackGuard 운영자가 처음에는 알려진 여러 스틸러로부터 코드의 일부를 참조했지만 주기적인 버전 업데이트를 통해 내부 구조를 조금씩 바꾸고 있음을 알 수 있습니다.


☑️ Click here to learn more