피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드
ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다.
정보 탈취 악성코드 유포 피싱 캠페인 – ASEC BLOG
ASEC 분석팀은 정상 유틸리티의 크랙 프로그램으로 위장하여 인포스틸러 악성코드를 유포하는 피싱 사이트를 발견하였다. 피싱 사이트는 지난 6월 29일에 공유한 바(https://asec.ahnlab.com/ko/1339/)와 같이 구글 검색 키워드로 유틸리티 프로그램명과 “Crack”을 함께 검색할 시 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해서 해당 페이지에 접속하여 감염되었을 것으로 추정된다. 해당 피싱 사이트의 게시글은 [그림 2]와 같이 실제 유틸리티 프로그램 이미지와 함께 정…
[그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 외에도 한국어로 번역된 사이트도 존재한다.
[그림 1] CryptBot 정보탈취 악성코드를 유포하는 피싱 페이지 1
[그림 2] CryptBot 정보탈취 악성코드를 유포하는 피싱 페이지 2
악성코드는 zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가 포함된 또다른 zip 압축파일과 압축 비밀번호가 담긴 txt 파일이 저장되어 있다. 압축 비밀번호를 입력하여 압축 해제 시 7zip 으로 실행압축된 Mainsetupv1.0.exe 가 실제 악성코드이다.
[그림 3] 피싱 페이지로부터 다운로드되는 zip 파일
Mainsetupv1.0.exe 는 실행 시 “7ZipSfx.000” 경로에 [그림 4] 과 같은 4개의 파일을 생성하고, 위장된 파일명(Naso.avi)으로 생성되는 악성 BAT 파일을 실행한다. 생성되는 4개의 파일의 대략적인 기능은 아래와 같다.
- Naso.avi : 악성 BAT 파일, 악성 오토잇 스크립트를 실행하는 기능
- Pensato.avi : 조작된 확장명(.avi)의 정상 Autoit.exe 파일
- C : 악성 오토잇 스크립트로 인코딩된 CryptBot 정보탈취 악성코드(Sento.avi)를 실행하는 기능
- Sento.avi : 인코딩된 CryptBot 정보탈취 악성코드
[그림 4] 7zip 실행 압축 파일로부터 생성되는 악성코드
[그림 5]는 첫 번째 실행과정에 해당하는 BAT 파일의 내용이다. BAT 파일은 조작된 확장명(.avi)의 정상 Autoit.exe 를 실행 가능한 확장자(.com)로 변경하고 악성 오토잇 스크립트(C)를 실행하는 기능을 수행한다.
[그림 5] 위장된 파일명(Naso.avi)로 생성되는 악성 BAT 파일
[그림 6]은 악성 오토잇 스크립트(C)의 내용으로 그림과 같이 해석이 불가능하도록 난독화되어있다.
[그림 6] 위장된 파일명(C)로 생성되는 난독화된 오토잇 스크립트
[그림 7]은 난독화 해제된 오토잇 스크립트의 일부로 분석환경을 우회하는 기능이다. Sleep 수행이 정상적으로 이루어지는지 GettickCount 를 통해 전, 후의 데이터를 확인하여 검증하고, 기댓값이 아닐 경우 악성코드는 종료된다.
[그림 7] 난독화 해제된 Autoit 스크립트 – 분석 방해 기법
[그림 8]은 난독화 해제된 오토잇 스크립트의 주요 기능이다. explorer.exe를 LoadLibraryExW API를 통해 로드하여 메모리 공간을 할당하고 최초 생성된 Sento.avi 파일의 데이터를 가공하여 생성한 CryptBot 정보탈취 악성코드의 페이로드를 해당 메모리 공간에 주입한다.
[그림 8] 난독화 해제된 오토잇 스크립트 – 인코딩된 페이로드(Sento.avi)를 실행
[그림 9]는 위 과정을 통해 최종적으로 실행되는 CryptBot 정보탈취 악성코드의 일부 코드로, 추가 악성 파일을 다운로드하는 기능이다. 이력을 통해 확인한 바로는, 해당 다운로드 기능을 통해 아래 Clipbanker 악성코드가 다운로드된 이력이 있다.
[그림 9] 최종 페이로드(CryptBot)의 추가 악성파일 다운로드 기능
코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) – ASEC BLOG
ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. https://asec.ahnlab.com/1276 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 …
현재 자사 V3 제품에서는 해당 악성코드를 아래와 같이 진단 중이다.
[파일 진단]
– Trojan/Win.Infostealer (2021.05.15.00)
[행위 진단]
– Execution/MDP.Scripting.M3728
