ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다.
[그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 외에도 한국어로 번역된 사이트도 존재한다.
악성코드는 zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가 포함된 또다른 zip 압축파일과 압축 비밀번호가 담긴 txt 파일이 저장되어 있다. 압축 비밀번호를 입력하여 압축 해제 시 7zip 으로 실행압축된 Mainsetupv1.0.exe 가 실제 악성코드이다.
Mainsetupv1.0.exe 는 실행 시 “7ZipSfx.000” 경로에 [그림 4] 과 같은 4개의 파일을 생성하고, 위장된 파일명(Naso.avi)으로 생성되는 악성 BAT 파일을 실행한다. 생성되는 4개의 파일의 대략적인 기능은 아래와 같다.
- Naso.avi : 악성 BAT 파일, 악성 오토잇 스크립트를 실행하는 기능
- Pensato.avi : 조작된 확장명(.avi)의 정상 Autoit.exe 파일
- C : 악성 오토잇 스크립트로 인코딩된 CryptBot 정보탈취 악성코드(Sento.avi)를 실행하는 기능
- Sento.avi : 인코딩된 CryptBot 정보탈취 악성코드
[그림 5]는 첫 번째 실행과정에 해당하는 BAT 파일의 내용이다. BAT 파일은 조작된 확장명(.avi)의 정상 Autoit.exe 를 실행 가능한 확장자(.com)로 변경하고 악성 오토잇 스크립트(C)를 실행하는 기능을 수행한다.
[그림 6]은 악성 오토잇 스크립트(C)의 내용으로 그림과 같이 해석이 불가능하도록 난독화되어있다.
[그림 7]은 난독화 해제된 오토잇 스크립트의 일부로 분석환경을 우회하는 기능이다. Sleep 수행이 정상적으로 이루어지는지 GettickCount 를 통해 전, 후의 데이터를 확인하여 검증하고, 기댓값이 아닐 경우 악성코드는 종료된다.
[그림 8]은 난독화 해제된 오토잇 스크립트의 주요 기능이다. explorer.exe를 LoadLibraryExW API를 통해 로드하여 메모리 공간을 할당하고 최초 생성된 Sento.avi 파일의 데이터를 가공하여 생성한 CryptBot 정보탈취 악성코드의 페이로드를 해당 메모리 공간에 주입한다.
[그림 9]는 위 과정을 통해 최종적으로 실행되는 CryptBot 정보탈취 악성코드의 일부 코드로, 추가 악성 파일을 다운로드하는 기능이다. 이력을 통해 확인한 바로는, 해당 다운로드 기능을 통해 아래 Clipbanker 악성코드가 다운로드된 이력이 있다.
현재 자사 V3 제품에서는 해당 악성코드를 아래와 같이 진단 중이다.
[파일 진단]
– Trojan/Win.Infostealer (2021.05.15.00)
[행위 진단]
– Execution/MDP.Scripting.M3728
[IOC]
- MD5: abd35d575a95891bac53ec57e8d33ccd
- 피싱 사이트
ko.augalai[.]info
rarpc[.]co
- C&C
– http[:]//morjgs02.top/index[.]php - Download PE
– http[:]//sulsxq03.top/download[.]php?file=lv.exe
Categories:악성코드 정보