.gif)
어도비 포토샵 등 상용 소프트웨어 크랙이나 시리얼 번호로 위장해 피싱 사이트 통해 유포
감염 시 브라우저 사용 정보, 암호화폐 지갑 정보, PC 정보 등 유출돼 주의 필요
[보안뉴스 이상우 기자] 유료 소프트웨어의 불법 복제판이나 크랙을 사칭해 유포되는 정보탈취형 악성코드 CryptBot이 사칭하는 소프트웨어를 다양화하면서 지속적으로 유포되고 있다. 안랩 ASEC 분석팀에 따르면 해당 악성코드는 구글 검색을 통해 각종 유틸리티+크랙(혹은 시리얼) 등의 키워드를 검색할 경우 악성코드 유포 사이트가 비교적 상단에 노출된다. 또한, 해당 샘플은 SFX 방식의 패킹을 사용하기 때문에 정상과 악성의 구분이 쉽지 않은 편이며, 하루에도 몇 번씩 잦은 변형이 발생한다.
▲상용 소프트웨어로 위장한 악성코드[자료=안랩 ASEC]
안랩 ASEC 분석팀은 그간 CryptBot 유포 캠페인에 관한 정보를 공유해 왔으며, 최근까지도 모습을 바꾸며 꾸준히 유포되고 있다고 밝혔다. 특히, CryptBot은 설치 파일이나 유틸리티를 내려받는 페이지로 위장했기 때문에 사용자가 정상적인 파일로 오인해 V3 등 백신 제품에서 차단이 발생하더라도, 내려받은 파일을 여러 번 실행하는 행동을 보인다. 특히, 크랙 등의 소프트웨어는 백신 등에서 차단되기 때문에 사용자가 자연스럽게 백신 실시간 감시 기능을 끄기도 한다.
해당 악성코드는 다음과 같이 여러 겹으로 압축 되어있는 구조다. 특히, 최종 압축 파일은 패스워드가 적용되어 있으며 동봉된 txt 파일에 패스워드가 기록돼 있다. 악성코드 실행 시 %temp% 경로에 ‘7z.SFX.xxx’, ‘IXPxxx.TMP’ 등의 이름의 폴더를 생성한 후 해당 폴더에 감염에 필요한 파일들을 생성한다. 이때 파일명과 확장자명은 매 변형마다 변경되며, BAT 스크립트(Far.vsdx), Autoit 스크립트(Impedire.vsdx), 암호화된 CryptBot 바이너리(Vento.vsdx), Autoit 실행파일(Copre.vsdx) 등의 파일을 생성한다.
▲압축 파일을 여러 겹으로 구성하고 비밀번호를 걸어 보안 소프트웨어를 우회하려 한 것으로 보인다[자료=안랩 ASEC]
생성되는 BAT 스크립트는 주기적으로 변형이 이뤄지는 특징을 보인다. 변형이 쉬운 스크립트의 특징을 이용하면서 기능은 유지한 상태로 문법만을 조금씩 수정하며 변형하는 패턴을 보인다. 실제로 최근 약 한 달간 수집된 CryptBot 샘플은 BAT 스크립트 변형이 짧게는 하루 안에도 발생하기도 했으며 변형 주기는 더욱 짧아졌다.
BAT 스크립트는 실행 시 Autoit 실행파일을 [랜덤].exe.com 파일명으로 복사한다. 이후 Autoit 스크립트를 특정 파일명으로 복사한 후, 해당 파일을 실행한다. Autoit 스크립트는 암호화된 바이너리를 복호화하여 가상메모리 영역에 복사 후 실행한다. 메모리에 로드된 CrpytBot 바이너리 실행 시 특정 안티 바이러스 제품 경로를 검사한다. 해당 경로가 존재할 경우 랜덤한 수를 생성해 그 수만큼 활동을 멈추는데, 이는 탐지 회피를 위한 실행 지연으로 추정된다. 또한, 특정 경로의 존재 유무를 검사한 뒤 이미 해당 경로가 존재한다면 중복 실행 혹은 이미 감염된 시스템으로 판단한 뒤 활동을 멈추고 스스로 삭제 행위를 한다. 해당 경로명은 샘플마다 다르다.
본격적인 악성행위를 시작하면 %TEMP% 경로에 랜덤 디렉터리를 생성후 각종 사용자 정보 수집을 시작한다. 수집하는 항목은 브라우저 정보(쿠키, 저장 폼 데이터, 저장 계정명/패스워드), 암호화폐 지갑 정보, 시스템 정보(실행 샘플명, OS 및 국가 정보, 사용자 계정, PC 이름, 하드웨어 정보, 설치된 프로그램 목록, 스크린샷) 등이다. 정보 수집이 완료되면 생성한 디렉토리 전체를 암호화 ZIP 압축해 명령제어 서버로 전송한다. 서버 주소는 .top 도메인을 사용하는 것이 특징이며 자주 변경된다. 통상적으로 CrtyptBot 악성코드 샘플 하나당 정보 전송용 서버 2개, 추가 악성코드 전송용 서버 1개가 존재한다.
▲악성코드가 탈취하는 정보[자료=ASEC]
서버 전송 작업을 완료하면 특정 URL에 접속해 추가 악성코드를 내려받은 후 실행한다. 주로 ClipBanker 류의 악성코드를 다운받는 것으로 확인된다.
안랩 ASEC 분석팀 관계자는 “해당 악성코드에 감염되면 계정명과 패스워드, 암호화폐 지갑 등의 중요 정보가 유출된다. 유출된 정보를 악용하여 2차적인 피해가 발생할 가능성이 높기 때문에 주의해야 한다”고 말했다.
[이상우 기자(boan@boannews.com)]
감염 시 브라우저 사용 정보, 암호화폐 지갑 정보, PC 정보 등 유출돼 주의 필요
[보안뉴스 이상우 기자] 유료 소프트웨어의 불법 복제판이나 크랙을 사칭해 유포되는 정보탈취형 악성코드 CryptBot이 사칭하는 소프트웨어를 다양화하면서 지속적으로 유포되고 있다. 안랩 ASEC 분석팀에 따르면 해당 악성코드는 구글 검색을 통해 각종 유틸리티+크랙(혹은 시리얼) 등의 키워드를 검색할 경우 악성코드 유포 사이트가 비교적 상단에 노출된다. 또한, 해당 샘플은 SFX 방식의 패킹을 사용하기 때문에 정상과 악성의 구분이 쉽지 않은 편이며, 하루에도 몇 번씩 잦은 변형이 발생한다.
▲상용 소프트웨어로 위장한 악성코드[자료=안랩 ASEC]
안랩 ASEC 분석팀은 그간 CryptBot 유포 캠페인에 관한 정보를 공유해 왔으며, 최근까지도 모습을 바꾸며 꾸준히 유포되고 있다고 밝혔다. 특히, CryptBot은 설치 파일이나 유틸리티를 내려받는 페이지로 위장했기 때문에 사용자가 정상적인 파일로 오인해 V3 등 백신 제품에서 차단이 발생하더라도, 내려받은 파일을 여러 번 실행하는 행동을 보인다. 특히, 크랙 등의 소프트웨어는 백신 등에서 차단되기 때문에 사용자가 자연스럽게 백신 실시간 감시 기능을 끄기도 한다.
해당 악성코드는 다음과 같이 여러 겹으로 압축 되어있는 구조다. 특히, 최종 압축 파일은 패스워드가 적용되어 있으며 동봉된 txt 파일에 패스워드가 기록돼 있다. 악성코드 실행 시 %temp% 경로에 ‘7z.SFX.xxx’, ‘IXPxxx.TMP’ 등의 이름의 폴더를 생성한 후 해당 폴더에 감염에 필요한 파일들을 생성한다. 이때 파일명과 확장자명은 매 변형마다 변경되며, BAT 스크립트(Far.vsdx), Autoit 스크립트(Impedire.vsdx), 암호화된 CryptBot 바이너리(Vento.vsdx), Autoit 실행파일(Copre.vsdx) 등의 파일을 생성한다.
▲압축 파일을 여러 겹으로 구성하고 비밀번호를 걸어 보안 소프트웨어를 우회하려 한 것으로 보인다[자료=안랩 ASEC]
생성되는 BAT 스크립트는 주기적으로 변형이 이뤄지는 특징을 보인다. 변형이 쉬운 스크립트의 특징을 이용하면서 기능은 유지한 상태로 문법만을 조금씩 수정하며 변형하는 패턴을 보인다. 실제로 최근 약 한 달간 수집된 CryptBot 샘플은 BAT 스크립트 변형이 짧게는 하루 안에도 발생하기도 했으며 변형 주기는 더욱 짧아졌다.
BAT 스크립트는 실행 시 Autoit 실행파일을 [랜덤].exe.com 파일명으로 복사한다. 이후 Autoit 스크립트를 특정 파일명으로 복사한 후, 해당 파일을 실행한다. Autoit 스크립트는 암호화된 바이너리를 복호화하여 가상메모리 영역에 복사 후 실행한다. 메모리에 로드된 CrpytBot 바이너리 실행 시 특정 안티 바이러스 제품 경로를 검사한다. 해당 경로가 존재할 경우 랜덤한 수를 생성해 그 수만큼 활동을 멈추는데, 이는 탐지 회피를 위한 실행 지연으로 추정된다. 또한, 특정 경로의 존재 유무를 검사한 뒤 이미 해당 경로가 존재한다면 중복 실행 혹은 이미 감염된 시스템으로 판단한 뒤 활동을 멈추고 스스로 삭제 행위를 한다. 해당 경로명은 샘플마다 다르다.
본격적인 악성행위를 시작하면 %TEMP% 경로에 랜덤 디렉터리를 생성후 각종 사용자 정보 수집을 시작한다. 수집하는 항목은 브라우저 정보(쿠키, 저장 폼 데이터, 저장 계정명/패스워드), 암호화폐 지갑 정보, 시스템 정보(실행 샘플명, OS 및 국가 정보, 사용자 계정, PC 이름, 하드웨어 정보, 설치된 프로그램 목록, 스크린샷) 등이다. 정보 수집이 완료되면 생성한 디렉토리 전체를 암호화 ZIP 압축해 명령제어 서버로 전송한다. 서버 주소는 .top 도메인을 사용하는 것이 특징이며 자주 변경된다. 통상적으로 CrtyptBot 악성코드 샘플 하나당 정보 전송용 서버 2개, 추가 악성코드 전송용 서버 1개가 존재한다.
▲악성코드가 탈취하는 정보[자료=ASEC]
서버 전송 작업을 완료하면 특정 URL에 접속해 추가 악성코드를 내려받은 후 실행한다. 주로 ClipBanker 류의 악성코드를 다운받는 것으로 확인된다.
안랩 ASEC 분석팀 관계자는 “해당 악성코드에 감염되면 계정명과 패스워드, 암호화폐 지갑 등의 중요 정보가 유출된다. 유출된 정보를 악용하여 2차적인 피해가 발생할 가능성이 높기 때문에 주의해야 한다”고 말했다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
