에이싱크RAT, 정보유출·지속성 유지 및 AntiVM·AntiAV 기능 탑재
압축파일에 악성 LNK 파일, 악성 파워쉘 스크립트를 포함한 텍스트 파일·추가 악성파일 담겨

[보안뉴스 박은주 기자] 최근 ‘에이싱크RAT(AsyncRAT)’ 악성코드가 전자책으로 위장해 유포되는 정황이 드러났다.


▲에이싱크 RAT와 함께 유포되고 있는 전자책 표지[이미지=안랩 ASEC]

에이싱크RAT는 정보 유출 및 백도어 기능을 가진 악성코드다. 과거 △.chm(HTML 도움말 파일) △.wsf(스크립트 호스트 실행 파일) △.lnk(바로가기 생성 파일) 등 다양한 확장자로 위장해 설문조사 등 미끼 파일을 통해 유포됐다.


▲전자책으로 위장한 채 유포되는 에이싱크RAT 악성코드가 담긴 압축폴더[자료=안랩 ASEC]
Schtasks를 활용한 예약 작업 및 레지스리를 등록하고, 스스로 파일을 실행·삭제하는 bat 파일을 생성하며 지속성을 유지한다. 또한, 감염 컴퓨터 정보, 브라우저 정보, 암호화폐 지갑 정보 등 정보를 유출한다. 보안 소프트웨어의 탐지를 피하는 ‘AntiAV’, 분석 환경에서 효과적으로 작동하지 않도록 하는 ‘AntiVM’ 기능을 탑재하고 있다. 이 밖에도 공격자로부터 명령을 받아 다양한 악성행위를 수행할 수 있는 만큼 각별한 주의가 요구된다.

안랩 시큐리티 인텔리전스 센터(ASEC)의 분석 결과 전자책으로 위장한 에이싱크 RAT 악성코드에는 △압축 파일 아이콘으로 위장한 악성 LNK 파일 △악성 파워쉘 스크립트를 포함한 텍스트 파일 △동영상 확장자로 위장한 추가 압축 파일 △정상 전자책(Business Secrets from the Bible) 파일 등이 담겨 있었다.

LNK 파일에는 악성 명령어가 담겨 있고, 파워쉘 스크립트가 포함된 RM.TXT 파일을 읽어와 실행했다. 텍스트 파일은 악성 파워셀 스크립트를 은폐하기 위해 대부분 의미 없는 문자열로 이뤄져 있다.

악성행위가 이뤄지는 스크립트는 악성코드가 포함된 폴더를 숨김 속성으로 변경하고, 난독화된 스크립트를 실행한다. 시스템 내 존재하는 보안 제품을 탐색하고 결과에 따라 동영상 확장자로 위장한 압축파일의 악성코드를 실행하는 방식으로 작동한다. 이때 Method 1~3 함수가 사용돼 압축을 해제하고, △작업 스케줄 등록 △악성코드 다운로드 △악성코드 실행 등 악성행위를 실행했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>