▶ 정상 런타임 환경을 악용하는 BYOR(Bring Your Own Runtime) 기법을 사용하여, 백신 프로그램(AV)의 탐지 우회
▶ 감염 시 Discord 계정 정보, 전체 쿠키(DPAPI 복호화), 시스템 식별 정보 및 스크린샷 등을 다중 유출 채널를 통해 공격자에게 전송
1. 파일 정보
□ Nova Shadow Stealer
|
MD5
|
0709df027271605a5cf0a620b6739e56 |
|
SHA1
|
461623fe88ad2acc23577f29c84a7e9120ec002c |
| SHA256 | 0ba60875de190dc353c4972053b326634cb23ec8fddc0b7de3d8d67fca11436b |
2. 도식도
3. Nova Shadow Stealer 악성 코드 상세 분석 1 – 파일 드로핑(Dropping)
해당 악성 코드는 크게 세 가지의 큰 파일로 구성된다.
첫 번째로는 NSIS를 포함하는 드로퍼(Dropper)이다. 이 드로퍼가 내뱉는 프로그램은 Electron 엔진 프로그램과 실제 공격자에게 개인 정보를 전송하는 난독화된 JavaScript 파일로 나눌 수 있다.
⊙ 드로퍼 초기 세팅
해당 악성 코드는 사용자의 의심을 피하기 위해 정상적인 소프트웨어 설치 프로그램 형태로 위장하여 유포된다. 내부적으로는 오픈소스 기반의 Windows용 설치 시스템인 NSIS(Nullsoft Scriptable Install System) 아키텍처를 기반으로 제작되었다. NSIS는 크게 인스톨러 스텁(Installer Stub), 압축된 페이로드(Payload), 설치 제어 스크립트(Script)의 세 부분으로 구성되며, 복잡한 디렉터리 구조를 단일 실행 파일(.exe)로 패키징하는 특징을 가진다. Nova Shadow Stealer는 이러한 NSIS의 동작을 악용하여 내부에 거대한 악성 페이로드를 은닉하고 실행을 준비한다.
본격적인 악성 페이로드 드로핑에 앞서, 인스톨러 스텁(Stub)은 사용자가 악성 행위를 인지하지 못하도록 철저한 스텔스(Stealth) 환경을 구축하고 런타임에 필요한 시스템 구성을 초기화한다. 주요 시스템 구성 과정은 아래와 같다.
1. 실행 환경 초기화 및 에러 팝업 제어
: 악성 코드는 실행 중 발생할 수 있는 예기치 않은 오류나 충돌 창을 숨기기 위해 SetErrorMode API에 0x8001을 인자로 전달하여 호출한다.
이는 두 가지 비트 플래그의 조합으로, 에러 메시지 박스 출력을 원천 차단하여 사용자의 의심을 피한다.
⊙ SEM_FAILCRITICALERRORS (0x0001): 디스크 및 장치 관련 치명적인 오류 팝업을 비활성화한다.
⊙ SEM_NOOPENFILEERRORBOX (0x8000): 파일 열기(Open) 실패 시 에러 메시지 박스를 표시하지 않는다.
2. 환경 호환성 체크 및 DLL 하이재킹 방어
: GetVersionAPI를 통해 현재 감염 대상 PC의 Windows OS 버전을 확인한 뒤, 마스킹 연산(0xBFFFFFFF)을 거쳐 전역 변수에 저장한다. 이 검증을 통해 Windows 8 이상(또는 보안 패치가 적용된 Windows 7) 환경임이 확인되면, 동적으로 획득한 함수 포인터를 통해 SetDefaultDllDirectories(0xC00)API를 호출한다. 이는 실행 파일이 위치한 현재 디렉터리 등에서 조작된 악성 DLL이 로드되는 것(DLL Hijacking)을 방지하고, 오직 신뢰할 수 있는 시스템 경로(System32등)에서만 DLL을 로드하도록 강제하는 NSIS 런타임의 자체 보호 및 안정성 확보 조치이다.
[생략]
📊 전체 내용을 보시려면 아래 링크를 클릭해주세요.
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트(Security&Tech Blog)
누리랩(Nurilab) - 보안 이슈 분석 리포트
www.nurilab.com
AI로 보안의 가치를 더하는 기업, 누리랩
[ 홈페이지→ ]
'보안 리포트 및 칼럼' 카테고리의 다른 글
| 여성가족부, '성범죄자 알림e' 사칭한 피싱/악성앱 분석보고서 (0) | 2026.03.27 |
|---|---|
| [칼럼] 캄보디아 범죄 조직, 중고나라 67억 사기 행각 (0) | 2026.03.23 |
| Expiro 악성코드 분석 보고서 (0) | 2026.03.06 |
| [누리랩] 일본 피싱 대책 협의회 2026년 1월 피싱 신고 현황 (0) | 2026.03.03 |
| [칼럼] 폭등하는 주식시장과 함께 증가하는 피싱·투자 사기 (0) | 2026.02.27 |