안랩 ASEC 분석팀, 피싱 사이트 통해 유포되는 CryptBot 정보탈취 악성코드 주의 당부
구글 검색 키워드로 유틸리티 프로그램명과 ‘Crack’ 함께 검색 시 상단에 노출
코인 지갑 탈취 노리는 악성코드 추가 다운로드 이력...각별한 주의 필요
[보안뉴스 권 준 기자] 최근 유틸리티 프로그램으로 위장해 정보탈취 악성코드를 유포하는 피싱 사이트가 지속적으로 발견되는 것으로 드러났다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 때 사용자에게 비교적 상단에 노출되는 것으로 알려졌다.
글로벌 보안기업 안랩 ASEC 분석팀에 따르면 ‘CryptBot’으로 알려진 해당 악성코드는 정보탈취 목적으로 현재까지도 활발히 유포되고 있으며, 감염 과정은 계속 변화되고 있다. 해당 악성코드는 지난해 6월과 11월에도 발견됐는데, 정상 유틸리티의 크랙 프로그램으로 위장해 정보탈취 악성코드를 유포하는 피싱 사이트 형태다.
▲유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습[자료=안랩 ASEC 분석팀]
특히, 해당 피싱 사이트는 구글 검색 키워드로 유틸리티 프로그램명과 ‘Crack’을 함께 검색할 때 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드하기 위해서 해당 페이지에 접속했을 가능성이 제기된다. 피싱 사이트는 영문 사이트 외에도 한국어로 번역된 사이트로 존재하는 것으로 알려졌다.
피싱 사이트를 통해 유포되는 악성코드는 zip 형태로 다운로드 되는데, 압축파일에는 정보 유출 악성코드가 포함된 또 다른 zip 압축파일과 압축 비밀번호가 담긴 txt 파일이 저장되어 있다. 압축 비밀번호를 입력해 압축 해제 시 7zip으로 실행 압축된 Mainsetupv1.0.exe가 실제 악성코드라는 게 ASEC 분석팀의 설명이다.
▲피싱 페이지로부터 다운로드되는 zip 파일[자료=안랩 ASEC 분석팀]
Mainsetupv1.0.exe 실행 시 ‘7ZipSfx.000’ 경로에 4개의 파일을 생성하고, 위장된 파일명(Naso.avi)으로 생성되는 악성 BAT 파일을 실행하는 것으로 분석됐다. 생성되는 4개의 파일은 △Naso.avi: 악성 BAT 파일, 악성 오토잇 스크립트를 실행하는 기능 △Pensato.avi : 조작된 확장명(.avi)의 정상 Autoit.exe 파일 △C: 악성 오토잇 스크립트로 인코딩된 CryptBot 정보탈취 악성코드(Sento.avi)를 실행하는 기능 △Sento.avi: 인코딩된 CryptBot 정보탈취 악성코드의 대략적인 기능을 수행한다.
특히, CryptBot 악성코드의 경우 추가 악성파일을 다운로드 하는 기능이 있는데, 그 이력을 확인해본 결과, 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 Clipbanker 악성코드가 다운로드된 이력이 있는 것으로 분석됐다.
이에 따라 최근 열풍이 풀고 있는 가상자산 투자와 관련해 해당 악성코드가 최종적으로 투자자들의 코인 지갑 주소 탈취를 시도할 가능성도 있어 각별한 주의가 요구된다.
이와 관련 안랩 ASEC 분석팀은 “해당 악성코드를 V3에서 파일 진단명으로는 Trojan/Win.Infostealer(2021.05.15.00), 행위 진단명으로는 Execution/MDP.Scripting.M3728로 탐지하고 있다”며, “정보유출형 악성코드를 유포하는 피싱 사이트의 변형이 매우 많은 것으로 추정되므로 일반 사용자는 불법 크랙 프로그램 사이트 접속을 자제하고 정상 소프트웨어 사용을 지향해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
구글 검색 키워드로 유틸리티 프로그램명과 ‘Crack’ 함께 검색 시 상단에 노출
코인 지갑 탈취 노리는 악성코드 추가 다운로드 이력...각별한 주의 필요
[보안뉴스 권 준 기자] 최근 유틸리티 프로그램으로 위장해 정보탈취 악성코드를 유포하는 피싱 사이트가 지속적으로 발견되는 것으로 드러났다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 때 사용자에게 비교적 상단에 노출되는 것으로 알려졌다.
글로벌 보안기업 안랩 ASEC 분석팀에 따르면 ‘CryptBot’으로 알려진 해당 악성코드는 정보탈취 목적으로 현재까지도 활발히 유포되고 있으며, 감염 과정은 계속 변화되고 있다. 해당 악성코드는 지난해 6월과 11월에도 발견됐는데, 정상 유틸리티의 크랙 프로그램으로 위장해 정보탈취 악성코드를 유포하는 피싱 사이트 형태다.
▲유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습[자료=안랩 ASEC 분석팀]
특히, 해당 피싱 사이트는 구글 검색 키워드로 유틸리티 프로그램명과 ‘Crack’을 함께 검색할 때 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드하기 위해서 해당 페이지에 접속했을 가능성이 제기된다. 피싱 사이트는 영문 사이트 외에도 한국어로 번역된 사이트로 존재하는 것으로 알려졌다.
피싱 사이트를 통해 유포되는 악성코드는 zip 형태로 다운로드 되는데, 압축파일에는 정보 유출 악성코드가 포함된 또 다른 zip 압축파일과 압축 비밀번호가 담긴 txt 파일이 저장되어 있다. 압축 비밀번호를 입력해 압축 해제 시 7zip으로 실행 압축된 Mainsetupv1.0.exe가 실제 악성코드라는 게 ASEC 분석팀의 설명이다.
▲피싱 페이지로부터 다운로드되는 zip 파일[자료=안랩 ASEC 분석팀]
Mainsetupv1.0.exe 실행 시 ‘7ZipSfx.000’ 경로에 4개의 파일을 생성하고, 위장된 파일명(Naso.avi)으로 생성되는 악성 BAT 파일을 실행하는 것으로 분석됐다. 생성되는 4개의 파일은 △Naso.avi: 악성 BAT 파일, 악성 오토잇 스크립트를 실행하는 기능 △Pensato.avi : 조작된 확장명(.avi)의 정상 Autoit.exe 파일 △C: 악성 오토잇 스크립트로 인코딩된 CryptBot 정보탈취 악성코드(Sento.avi)를 실행하는 기능 △Sento.avi: 인코딩된 CryptBot 정보탈취 악성코드의 대략적인 기능을 수행한다.
특히, CryptBot 악성코드의 경우 추가 악성파일을 다운로드 하는 기능이 있는데, 그 이력을 확인해본 결과, 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 Clipbanker 악성코드가 다운로드된 이력이 있는 것으로 분석됐다.
이에 따라 최근 열풍이 풀고 있는 가상자산 투자와 관련해 해당 악성코드가 최종적으로 투자자들의 코인 지갑 주소 탈취를 시도할 가능성도 있어 각별한 주의가 요구된다.
이와 관련 안랩 ASEC 분석팀은 “해당 악성코드를 V3에서 파일 진단명으로는 Trojan/Win.Infostealer(2021.05.15.00), 행위 진단명으로는 Execution/MDP.Scripting.M3728로 탐지하고 있다”며, “정보유출형 악성코드를 유포하는 피싱 사이트의 변형이 매우 많은 것으로 추정되므로 일반 사용자는 불법 크랙 프로그램 사이트 접속을 자제하고 정상 소프트웨어 사용을 지향해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
