정보 탈취 악성코드 유포 피싱 캠페인

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램으로 위장하여 인포스틸러 악성코드를 유포하는 피싱 사이트를 발견하였다. 피싱 사이트는 지난 6월 29일에 공유한 바(https://asec.ahnlab.com/ko/1339/)와 같이 구글 검색 키워드로 유틸리티 프로그램명과 “Crack”을 함께 검색할 시 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해서 해당 페이지에 접속하여 감염되었을 것으로 추정된다.

[그림 1] 크랙 프로그램 검색 시 상단에 노출되는 피싱 사이트

해당 피싱 사이트의 게시글은 [그림 2]와 같이 실제 유틸리티 프로그램 이미지와 함께 정교하게 꾸며놓았다. 사이트에 접속한 사용자가 페이지 하단의 [그림 3] 다운로드 링크를 클릭 할 경우 악성코드 유포지로 리다이렉트되며 최종적으로 악성코드를 포함한 압축 파일을 다운로드 받게 된다.

[그림 2] 피싱 페이지
[그림 3] 게시글 하단에 위치한 정보 유출 악성코드 다운로드 링크

악성코드는 유틸리티명_특정 해시값.zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가 포함된 SetupFile-86x-64xen.zip 압축파일과 압축 비밀번호가 담긴 txt 파일, 악성코드 실행을 유도하는 ReadMe.txt 파일이 저장되어 있다.

[그림 4] wondershare_ceccea53be6aa48d6199e175b0035715.zip 압축파일 내부

ReadMe 문서를 열어보면 [그림 5]와 같이 현재 사용중인 Anti-Virus, 방화벽 등을 종료하라는 문구가 눈에 띈다. 이는 보통의 키젠이나 크랙 버전 프로그램들을 악성코드에서 유해 가능한 프로그램으로 진단하기 때문인 것으로 보이지만, 실제 해당 파일은 키젠, 크랙 프로그램이 아닌 악성코드의 기능만 존재하기 때문에 악성코드 진단 우회 목적으로 명시한 문구로 보인다.

[그림 5] First-ReadMe–.txt 파일 내부

SetupFile-86x-64xen.zip 압축해제를 위해 “77788899” 패스워드를 입력하면 악성코드(SetupFile-86x-64xen.exe)가 생성된다.

[그림 6] 악성코드

악성코드를 실행하면 “%temp%\IXP000.TMP” 폴더에 정상 오토잇 스크립트 실행 프로그램([그림 7]의 lsass.com)과 인코딩된 악성 PE 파일을 드롭한다. 이후 “c:\windows\system32\attrib.exe”를 실행시킨 뒤 인코딩 PE를 디코딩하여 인젝션한다.

[그림 7] 자사 동적 분석 시스템 RAPIT 프로세스 트리 정보

디코딩된 PE는 Anti-SandBox 기능이 존재하는 정보 유출형 악성코드이다. 악성코드는 다음 정보들을 확인하여 한 가지라도 만족할 경우 자기 자신 프로세스를 종료한다.

[그림 8] Anti-Sandbox 기능
  • GetSystemMetrics API를 활용한 스크린 화면 확인 기능 (현재 스크린의 가로축이 1027보다 작을 경우)
  • GetSystemInfo API를 활용한 CPU 코어 수 확인 기능 (CPU 코어 수가 1개일 경우)
  • 레지스트리 키 정보를 참고하여 CPU 이름이 “Xeon”일 경우 자기 자신을 종료
  • GlobalMemoryStatusEx API를 활용한 물리 메모리 확인 기능 (물리 메모리가 2GB 보다 작을 경우)

SandBox 환경 확인이 끝나면, 사용자 PC에서 다음과 같은 정보들을 유출하여 Zip 파일로 압축 후 C&C 서버에 전송한다.

  • 브라우저 패스워드 정보
  • 웹 브라우저 쿠키 정보
  • 가상화폐 관련 지갑 정보
  • 사용자 PC 바탕화면 캡처 이미지
  • PC의 CPU, RAM, OS, 키보드 레이아웃 정보
  • 설치된 SW 목록

이와 같은 피싱 사이트의 특이점은 해당 피싱 사이트에 업로드된 다른 유틸리티(Adobe Photoshop CC 2020, DLL Files Fixer 등)의 크랙 버전들도 모두 같은 악성코드 유포지로 리다이렉트 되어 최종적으로 실행되는 악성코드가 동일하다는 점이다.

이번 글에서 언급한 피싱 사이트 뿐만 아니라 정보 유출형 악성코드를 유포하는 피싱 사이트의 변형이 매우 많은 것으로 추정되므로 일반 사용자는 불법 크랙 프로그램 사이트 접속을 자제하고 정상 소프트웨어 사용을 지향해야 한다.

현재 안랩 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지 및 차단하고 있다.

[파일진단]

Dropper/Win32.AutoIt (2020.11.09.02)

[행위진단]

Malware/MDP.Injection.M3495

[IOC]

<파일>

0893CE760326613FFE3E60098780C393

<피싱 사이트>

  • piratesfile.com
  • haxpc.net
  • free4pc.org
  • hmzapc.com

<C&C 주소>

  • http[:]//kirraadd03.top/index.php

Categories:악성코드 정보

Tagged as:,

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments