나 몰래 악성코드가 설치된다고?! BeamWinHTTP 악성코드!

ASEC 분석팀에서 매주 게시하고 있는 주간 악성코드 통계에서도 확인되듯, 최근들어 다운로더형 악성코드인 BeamWinHTTP가 몇 주 사이에 눈에 띄게 많이 발생하고 있다.

지난 ASEC 주간 악성코드 통계에 따르면 BeamWinHTTP 악성코드는 Top 3으로 분류될 정도로 많은 유포가 이루어지고 있으며, 실행할 때마다 각기 다른 악성코드를 다운로드하고 있기 때문에 각별한 주의가 필요하다.

BeamWinHTTP 악성코드는 PUP 설치 프로그램에 의해 실행되어지는데, 사용자들은 웹 상에서 자신이 원하는 프로그램을 설치하려다 아래와 같은 PUP 설치 프로그램을 다운로드 받고 실행하게 된다.
※ PUP 프로그램 : Potentially Unwanted Program의 약자로 사용자의 동의를 구하지만 사용자에게 불필요한 프로그램

PUP 설치 프로그램은 아래와 같이 특정 패턴의 파일명으로 실행되어야 정상적으로 설치가 가능해진다. 설치 프로그램은 겉 껍데기일 뿐이고 실제 설치 프로그램에서 파일명을 파악하여 웹상에서 다운로드 경로와 파일 정보를 가져오도록 하기 때문이다.

[그림 1] PUP 설치 프로그램

PUP 설치 프로그램을 실행하면 아래와 같은 창이 뜨며, 파일명을 파악하여 다운로드 경로와 파일 정보를 보여주게 된다.

[그림 2] PUP 설치 프로그램 화면 – 1

오른쪽 아래에 있는 고급 설정 버튼을 클릭하게 되면, 아래와 같이 PUP 설치에 대한 사용자의 동의를 받게 되며, 여기서 BeamWinHTTP 악성코드는 G-Cleaner 설치에 동의하게 되면 실행되게 된다.

[그림 3] PUP 설치 프로그램 화면 – 2

설치를 계속 진행하게 되면 사용자가 원하는 프로그램을 다운로드하게 되고, 다운로드가 완료되면 사용자 몰래 여러 PUP 프로그램의 설치가 진행되게 된다.

PUP 설치 프로그램은 아래 그림과 같이 Temp 경로에 악성코드를 다운로드 받아서 실행시키는데 이 파일이 BeamWinHTTP 악성코드이다.

[그림 4] BeamWinHTTP 악성코드 다운로드 및 실행

BeamWinHTTP 악성코드는 Garbage Cleaner라는 PUP 프로그램을 또 한번 설치하게 되며, 이 프로그램은 단순 임시파일들을 삭제해주면서 라이센스 구입을 유도하도록 한다.

[그림 5] Garbage Cleaner PUP 프로그램

그리고 최종적으로 핵심 악성코드를 다운로드 받아 실행한다. 다운로드 되는 악성코드는 때마다 다른데, 주로 사용자의 계정 정보를 탈취하는 인포스틸러 악성코드이다.

[그림 6] 추가적으로 다운로드 되는 악성코드

이와 같이 단순 프로그램을 받으려다가 개인 계정 정보가 탈취 될 수 있는 결과에 이를 수 있다는 것에 주의가 필요하다. 사용자들은 웹 상에서 파일을 다운로드 받아 사용할 때 신뢰할 수 있는 출처의 파일인지 반드시 확인을 해야한다.

현재 해당 악성코드는 V3 에서 아래와 같이 진단하고 있다.

[파일 진단]
Downloader/Win32.BeamLoader.C4356144
Trojan/Win32.MalPe.R368818

[IOC 정보]
cdea4ba9137432aab58f5541e30595eb
90d01324d134695266115e71e43e35dc
10f74757da29c601937ea3ed94f6f807
hxxp://gcleaner.pro/

4.8 4 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments