피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드

ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다.

[그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 외에도 한국어로 번역된 사이트도 존재한다.

[그림 1] CryptBot 정보탈취 악성코드를 유포하는 피싱 페이지 1
[그림 2] CryptBot 정보탈취 악성코드를 유포하는 피싱 페이지 2

악성코드는 zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가 포함된 또다른 zip 압축파일과 압축 비밀번호가 담긴 txt 파일이 저장되어 있다. 압축 비밀번호를 입력하여 압축 해제 시 7zip 으로 실행압축된 Mainsetupv1.0.exe 가 실제 악성코드이다.

[그림 3] 피싱 페이지로부터 다운로드되는 zip 파일

Mainsetupv1.0.exe 는 실행 시 “7ZipSfx.000” 경로에 [그림 4] 과 같은 4개의 파일을 생성하고, 위장된 파일명(Naso.avi)으로 생성되는 악성 BAT 파일을 실행한다. 생성되는 4개의 파일의 대략적인 기능은 아래와 같다.

  • Naso.avi : 악성 BAT 파일, 악성 오토잇 스크립트를 실행하는 기능
  • Pensato.avi : 조작된 확장명(.avi)의 정상 Autoit.exe 파일
  • C : 악성 오토잇 스크립트로 인코딩된 CryptBot 정보탈취 악성코드(Sento.avi)를 실행하는 기능
  • Sento.avi : 인코딩된 CryptBot 정보탈취 악성코드
[그림 4] 7zip 실행 압축 파일로부터 생성되는 악성코드

[그림 5]는 첫 번째 실행과정에 해당하는 BAT 파일의 내용이다. BAT 파일은 조작된 확장명(.avi)의 정상 Autoit.exe 를 실행 가능한 확장자(.com)로 변경하고 악성 오토잇 스크립트(C)를 실행하는 기능을 수행한다.

[그림 5] 위장된 파일명(Naso.avi)로 생성되는 악성 BAT 파일

[그림 6]은 악성 오토잇 스크립트(C)의 내용으로 그림과 같이 해석이 불가능하도록 난독화되어있다.

[그림 6] 위장된 파일명(C)로 생성되는 난독화된 오토잇 스크립트

[그림 7]은 난독화 해제된 오토잇 스크립트의 일부로 분석환경을 우회하는 기능이다. Sleep 수행이 정상적으로 이루어지는지 GettickCount 를 통해 전, 후의 데이터를 확인하여 검증하고, 기댓값이 아닐 경우 악성코드는 종료된다.

[그림 7] 난독화 해제된 Autoit 스크립트 – 분석 방해 기법

[그림 8]은 난독화 해제된 오토잇 스크립트의 주요 기능이다. explorer.exe를 LoadLibraryExW API를 통해 로드하여 메모리 공간을 할당하고 최초 생성된 Sento.avi 파일의 데이터를 가공하여 생성한 CryptBot 정보탈취 악성코드의 페이로드를 해당 메모리 공간에 주입한다.

[그림 8] 난독화 해제된 오토잇 스크립트 – 인코딩된 페이로드(Sento.avi)를 실행

[그림 9]는 위 과정을 통해 최종적으로 실행되는 CryptBot 정보탈취 악성코드의 일부 코드로, 추가 악성 파일을 다운로드하는 기능이다. 이력을 통해 확인한 바로는, 해당 다운로드 기능을 통해 아래 Clipbanker 악성코드가 다운로드된 이력이 있다.

[그림 9] 최종 페이로드(CryptBot)의 추가 악성파일 다운로드 기능

현재 자사 V3 제품에서는 해당 악성코드를 아래와 같이 진단 중이다.

[파일 진단]
– Trojan/Win.Infostealer (2021.05.15.00)

[행위 진단]
– Execution/MDP.Scripting.M3728

[IOC]

  • MD5: abd35d575a95891bac53ec57e8d33ccd
  • 피싱 사이트
    ko.augalai[.]info
    rarpc[.]co
  • C&C
    http[:]//morjgs02.top/index[.]php
  • Download PE
    – http[:]//sulsxq03.top/download[.]php?file=lv.exe

Categories:악성코드 정보

Tagged as:,

5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드 […]