HTTPS도 뚫는 Formbook 스틸러의 데이터 탈취 메커니즘 분석

Context

피싱 메일을 통한 .exe 실행 파일 배포 방식의 정보 탈취 공격 발생. 브라우저 내 데이터가 암호화되기 전 단계에서 정보를 가로채는 Form-grabbing 기술 사용. HTTPS 보안 연결 환경에서도 사용자 계정 및 결제 정보 탈취 가능.

Technical Solution

• .NET 프레임워크 기반 설계 및 표준 Import Table 제거를 통한 정적 분석 회피 전략
• Process Injection 기법을 활용해 정상적인 Windows 프로세스 내부로 은닉하는 런타임 보호 우회 방식
• 브라우저 훅킹을 통해 키보드 입력값과 웹 폼 데이터를 암호화 이전 단계에서 직접 캡처하는 구조
• C2(Command-and-Control) 서버와의 통신을 통한 탈취 데이터 전송 및 추가 악성코드 다운로드 제어 체계
• 시스템 재부팅 후에도 자동 실행되는 Persistence Mechanism을 통한 지속적 감시 환경 구축

Impact

• VirusTotal 분석 결과 76개 백신 엔진 중 27개만 탐지하는 약 35%의 낮은 탐지율 기록

Key Takeaway

엔드포인트 보안은 정적 파일 검사뿐 아니라 실행 중인 프로세스의 행위 기반 탐지와 메모리 내 인젝션 감지 능력이 필수적임.