구글 키워드 검색으로 유포되는 정보 유출 악성코드들

ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다.

구글 같은 검색 엔진에서 프로그램의 이름 및 크랙이나 키젠과 같은 키워드를 검색할 경우 다음과 같이 가짜 단축 url 링크가 걸려있는 웹 페이지들이 확인될 때가 있다. 단축 url은 아래의 예시에서는 “hxxps://imgfil[.]com”이며, 이외에도 “hxxps://blltly[.]com”도 확인된다. “imgfil[.]com”은 “https://imgflip.com”을 사칭하는 것으로 추정되며, “blltly[.]com”은 “https://bitly.com”을 사칭하는 형태이다.

스크롤을 내려보면 키워드와 맞지 않는 다양한 한글 문장들이 보인다. 이는 검색 엔진의 검색 결과 페이지에 올라가게 하기 위해 게임 크랙이나 사용 프로그램 키젠과 같은 다양한 키워드들을 삽입한 것으로 추정된다.

이렇게 외국 사이트 외에도 국내 블로그 사이트도 공격자의 피싱 공격에 사용되는 사례들이 존재한다.

이후 사용자가 해당 링크 또는 버튼을 클릭할 경우 리다이렉트를 거쳐 아래와 같은 다운로드 페이지가 보여진다. 마지막으로 여기에서 “DOWNLOAD” 버튼을 클릭할 경우 압축 파일이 다운로드되는 것을 확인할 수 있다.

여기까지의 흐름을 정리하자면 다음과 같다.

구글 검색
– 다운로드 버튼 클릭을 유도하는 피싱 페이지
링크 또는 다운로드 버튼 클릭
hxxps://imgfil[.]com 또는 hxxps://blltly[.]com
hxxp://capabresume[.]com
hxxps://ljett[.]com
hxxps://eemgl[.]com
hxxps://ezwcom[.]com
다운로드 버튼 클릭
hxxp://yabimer[.]com

압축을 해제하면 다음과 같이 2개의 실행 파일이 보여지는데, 둘 중 하나는 숨김 속성이 부여되어 있어 일반 사용자 입장에서는 “call-of-duty-localiz_240662092.exe” 파일 하나만 보이게 되며 이것을 더블 클릭하여 설치를 시작할 것이다. 참고로 숨김 속성의 파일은 WSCC라는 정상 프로그램이며, “call-of-duty-localiz_240662092.exe”가 애드웨어를 설치하는 악성코드이다.

실행 시 Program Files (x64 환경의 경우 “Program Files (x86)” 폴더) 폴더에 랜덤한 경로를 생성하여 실행한다. 이 프로그램은 “C:\Program Files (x86)\Qui\maiores\Voluptatem.exe”가 애드웨어 악성코드이지만, 로그를 확인해 보면 “C:\Program Files (x86)\neque\sunt\tempora.exe”, “C:\Program Files (x86)\zsclone\bin\aweclone” 등 폴더 및 파일명을 특정하지 않는다.

이후 과정은 위에서 소개한 BeamWinHTTP 분석 글을 참고하자. 추가적으로 최근 BeamWinHTTP를 통해 다운로드되는 악성코드들을 살펴보면, 아직까지도 Vidar, Raccoon, Ficker Stealer와 같은 정보 유출 악성코드들이 대부분이다.

이렇게 구글 검색을 통해 크랙, 키젠 등의 프로그램 다운로드 시도 시 실제로는 인포스틸러 악성코드가 설치될 수 있다. 또한 외국 뿐만 아니라 국내 사용자 또한 대상으로 하는, 즉 한글 검색 결과에 의해서도 다운로드가 가능함에 따라 주의가 필요하다.

[파일 진단]
Adware/Win.DownloadAssistant.C4439209 (2021.04.26.01)
Adware/Win.DownloadAssistant.R417523 (2021.04.25.00)
CoinMiner/Win.Glupteba.R417680 (2021.04.26.00)
Trojan/Win.MalPE.R414432 (2021.04.04.00)
Trojan/Win.Generic.R372807 (2021.03.24.00)

[행위 진단]
Malware/MDP.SystemManipulation.M2040

[메모리 진단]
Downloader/Win.BeamWinHTTP.XM87

[IOC]
파일
– dbbd0bf5c8767748801c9cb77be2aac1 (call-of-duty-localiz_240662092.exe)
– bcaa6072ae76b18c241b3102669d6ef9 (Voluptatem.exex)
– 5d3901176afa9675bb26ee263893dbd4 (beamwinhttp)
– 666dc98ef163a2bacdb9585816268705 (Ficker Stealer)
– a5577c6075410ba537ed3c54befcf8d3 (Raccoon Stealer)
– 664459b5bb0347021da4c830fd7ea0cd (Vidar Stealer)

다운로드 주소
– hxxps://imgfil[.]com
– hxxps://blltly[.]com
– hxxp://capabresume[.]com
– hxxps://ljett[.]com
– hxxps://eemgl[.]com
– hxxps://ezwcom[.]com
– hxxp://yabimer[.]com

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments