[보안][Malware]Hand of Thief

Hand of Thief

---

Hand of Thief is banking crimeware that targets Linux operating systems.

The Hand of Thief uses a form grabber to steal IDs, passwords and other information pertaining to Internet banking. The crimeware detects Internet banking information while the user enters it into a browser form, capturing it along with identifying data and storing it in a MySQL database.

Thief Hand는 Linux 운영 체제를 대상으로하는 금융 범죄 소프트웨어입니다.

도둑의 손은 인터넷 뱅킹과 관련된 ID, 비밀번호 및 기타 정보를 훔치기 위해 양식 그래버 (form grabber)를 사용합니다. 크라임웨어는 사용자가 브라우저 양식에 그것을 입력하는 동안 인터넷 뱅킹 정보를 감지하여 데이터를 식별하고 이를 MySQL 데이터베이스에 저장합니다.

Hand of Thief's more advanced features include:

-Cookie stealing to allow it to masquerade as the customer.

-A back door with SOCK5 proxy to help avoid detection.

-Form grabbing that works not only in HTTP but HTTPS too.

-Blocking of communications to anti-virus and other software updates that could detect and remove it.

Hand of Thief includes a virtual machine and debugger check that detects if it may be running in a research sandbox environment. If a research environment is suspected, the software terminates execution to prevent researchers from learning about it.

Because Hand of Thief lacks web injection abilities, it relies on social engineering to trick the user into running an executable file.

도둑의 손의 고급기능에는 다음이 포함됩니다.

- 쿠키를 훔침으로써 고객으로 가장할 수 있도록 한다.

- 탐지를 피하기 위해 SOCK5 프록시가 있는 백도어.

- HTTP뿐만 아니라 HTTPS에서도 작동하는 양식 찾아내기.

- 안티 바이러스 및 기타 소프트웨어 업데이트에 대한 통신을 차단하여 이를 탐지하여 제거하지 못하도록 한다.

도둑의 손는 연구용 샌드 박스 환경에서 실행 중인지 여부를 감지하는 가상 컴퓨터 및 디버거 검사를 포함합니다. 연구 환경이 의심되면 소프트웨어는 연구자가 그것에 대해 알 수 없도록 실행을 종료합니다. Thief of Hand는 웹 주입 기능이 없기 때문에 사회 공학을 사용하여 사용자가 실행 파일을 실행하도록 유도합니다.

---

이번에 올린 멀웨어는 꽤 관심이 있던 거여서 조금 더 재밌었네요. 이 글을 읽어보시면 도둑의 손이 굉장히 정교하고 치명적인 멀웨어라는 것을 알 수 있습니다. 그리고 연구용 샌드박스 환경이 의심되면 실행을 종료한다는 것이 굉장히 인상적이네요. 그러나 웹 주입 기능이 없어서 실행 파일을 실행해야지만 설치되는 멀웨어여서 의심되는 실행파일만 실행시키지 않으면 괜찮으니 조금 안심되네요.