팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
NWHStealer로 알려진 Windows 정보 탈취기가 가짜 VPN 다운로드 페이지, 번들 하드웨어 유틸리티, 마이닝 도구 및 손상된 게임 모드를 통해 확산되고 있습니다. 이 악성코드는 일반적으로 자체 주입, DLL 하이재킹 및 프로세스 할로잉에 의존하는 악성 ZIP 아카이브로 배포되며, RegAsm이 자주 대상 프로세스로 사용됩니다. 실행되면 NWHStealer는 브라우저 자격 증명을 훔치고 암호화폐 지갑 데이터를 수집하며 암호화된 명령 및 제어 채널을 통해 탈취된 정보를 유출합니다.
조사
연구자들은 두 가지 주요 배포 방법을 확인했습니다. 하나는 무료 웹 호스팅 플랫폼에 호스팅된 악성 ZIP 아카이브로, 자체 주입을 통해 스틸러를 실행합니다. 다른 하나는 가짜 Proton VPN 웹사이트가 DLL 하이재킹을 악용하는 DLL 기반 로더를 제공합니다. 로더는 포함된 리소스를 복호화하고, RegAsm 프로세스를 할로우링하며, 최종적으로 NWHStealer를 메모리에서 실행하거나 직접 브라우저 관련 프로세스에 주입합니다.
완화
사용자는 비공식 GitHub 릴리스, 의심스러운 SourceForge 페이지 및 YouTube 설명을 통해 공유된 링크를 포함하여 신뢰할 수 없는 소스에서 소프트웨어를 다운로드하지 않아야 합니다. 조직은 실행 전 디지털 서명을 확인하고, 알려진 악성 URL을 차단하는 엔드포인트 보안 도구를 사용하며, 사용자 프로필 경로 내에 생성된 의심스러운 예약 작업이나 숨김 디렉터리를 주의해야 합니다.
대응
방어자는 알려진 NWHStealer DLL 이름, RegAsm 프로세스 주입 활동, 숨김 폴더를 찾아야 합니다. LOCALAPPDATA에 있는 바이너리를 정품 시스템 파일로 가장하여 실행하는 예약 작업을 찾아야 합니다. 식별된 명령 및 제어 도메인과 Telegram 데드드롭 링크는 즉시 차단해야 합니다. 영향받는 시스템은 격리하고 전체 포렌식 분석을 통해 조사해야 합니다.
"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodes initial_access["<b>Action</b> – <b>T1204.002 사용자 실행</b>: 피해자가 가짜 VPN 또는 하드웨어 유틸리티 사이트에서 악성 ZIP을 다운로드하여 실행합니다."] class initial_access action malicious_zip["<b>Malware</b> – <b>Name</b>: 악성 ZIP 아카이브<br/><b>난독화</b>: T1027.015 압축"] class malicious_zip malware powershell_loader["<b>Process</b> – <b>Name</b>: PowerShell 로더<br/><b>기법</b>: T1059.001 명령 및 스크립팅 인터프리터"] class powershell_loader process defender_exclusion["<b>Action</b> – <b>T1564.012 아티팩트 숨기기</b>: 폴더를 Windows Defender 제외 목록에 추가합니다."] class defender_exclusion action impair_defenses["<b>Action</b> – <b>T1562 방어 무력화</b>: 탐지를 피하기 위해 PowerShell을 통해 보안 설정을 수정합니다."] class impair_defenses action cmstp_tool["<b>Tool</b> – <b>Name</b>: cmstp.exe<br/><b>기법</b>: T1218.003 시스템 바이너리 프록시 실행"] class cmstp_tool tool uac_bypass["<b>Action</b> – <b>T1548.002 UAC 우회</b>: 특수 제작된 INF 파일과 함께 CMSTP를 사용하여 권한을 상승합니다."] class uac_bypass action regasm_tool["<b>Tool</b> – <b>Name</b>: regasm.exe<br/><b>기법</b>: T1218.009 시스템 바이너리 프록시 실행"] class regasm_tool tool process_hollowing["<b>Action</b> – <b>프로세스 할로잉</b>: NT API를 통해 Regasm 프로세스를 만들고 할로잉합니다."] class process_hollowing action dll_hijack["<b>Action</b> – <b>T1574.001 DLL 하이재킹</b>: 정품 실행 파일에 의해 로드되는 악성 iviewers.dll을 배치합니다."] class dll_hijack action persistence["<b>Action</b> – <b>T1546 이벤트 트리거 실행</b> 및 <b>T1547 부팅 또는 로그온 자동 시작</b>: 사용자 로그온 시 권한 상승 상태로 페이로드를 실행하도록 작업을 예약합니다."] class persistence action cred_browser["<b>Action</b> – <b>T1555.003 웹 브라우저에서 자격 증명</b>: 여러 브라우저에서 비밀번호와 쿠키를 수집합니다."] class cred_browser action cred_cookie["<b>Action</b> – <b>T1539 웹 세션 쿠키 탈취</b>: 웹 서비스 세션 쿠키를 추출합니다."] class cred_cookie action browser_discovery["<b>Action</b> – <b>T1217 브라우저 정보 검색</b>: 브라우저 프로필, 확장기능 및 설정을 나열합니다."] class browser_discovery action c2_dead_drop["<b>Action</b> – <b>T1102.001 웹 서비스 데드 드롭 해상도</b>: Telegram 데드 드롭 채널에서 추가 C2 정보를 가져옵니다."] class c2_dead_drop action c2_bidirectional["<b>Action</b> – <b>T1102.002 웹 서비스 양방향 통신</b>: 암호화된 HTTP를 통해 C2와 통신합니다."] class c2_bidirectional action %% Connections initial_access –>|delivers| malicious_zip malicious_zip –>|executes| powershell_loader powershell_loader –>|creates hidden directories and adds exclusions| defender_exclusion powershell_loader –>|modifies security settings| impair_defenses powershell_loader –>|invokes| cmstp_tool cmstp_tool –>|enables| uac_bypass uac_bypass –>|launches| regasm_tool regasm_tool –>|performs| process_hollowing process_hollowing–>|drops| dll_hijack dll_hijack –>|facilitates| persistence persistence –>|provides foothold for| cred_browser cred_browser –>|collects| cred_cookie cred_browser –>|collects| browser_discovery cred_cookie –>|used for| c2_dead_drop browser_discovery –>|supplies information to| c2_dead_drop c2_dead_drop –>|communicates via| c2_bidirectional "