다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드

CryptBot 악성코드는 유틸리티 다운로드 페이지를 위장한 악성 사이트를 통해 유포되는 정보탈취형 악성코드다. 특정 프로그램, 크랙, 시리얼 등의 키워드를 검색 시 관련 유포지가 상단에 노출되며, 해당 페이지에 접속하여 다운로드 버튼을 누를 경우 CryptBot 악성코드 다운로드 페이지로 리디렉트 된다.

피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드 – ASEC BLOG

ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다. [그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 …

악성 사이트는 다양한 키워드로 매우 많은 수량이 개설되어 있다. 대부분의 유명 소프트웨어 키워드를 검색 시 다수의 악성 사이트가 상위 페이지에 노출되며, 관련 파일 탐지 수량 또한 상당하다. 웹 서핑 중 아래와 같은 페이지를 마주친다면 절대 파일을 다운로드하거나 실행해서는 안 된다.

유포 사이트에서 다운로드 되는 파일은 ZIP 압축파일로, 내부에는 악성코드를 암호화 압축한 또 다른 ZIP 파일과 비밀번호가 적혀있는 텍스트 파일이 담겨있다. 압축 파일명은 사용자가 검색한 키워드로 구성되어 있기 때문에 정상 프로그램으로 오인할 수 있다. 내부 패스워드가 적힌 텍스트 파일은 압축 비밀번호와 함께 ASCII Art가 존재한다는 특징이 있다.

압축 파일의 파일명은 사용자가 검색한 키워드와 동일하지만 실제 악성코드 실행 파일은 다음과 같이 설치 파일을 위장한 파일명을 갖는다.

• setup_x86_x64_install.exe
• Mainsetupv1.0.exe
• newfullserup.exe
• Setup.exe
• x32_x64_mainsetup.exe
• main-setupfile.exe

해당 악성코드는 기존에는 7z SFX 외형으로 유포가 되었는데, 최근 완전히 다른 외형으로 유포 중인 것이 확인되었다. 자사에서는 해당 패킹 유형을 “MalPE”로 명명하여 대응 중이며, Glupteba, Raccoon Stealer, Nemty Ransomware 등 다양한 악성코드가 해당 외형으로 패킹되어 유포된 이력이 존재하고 여전히 활발하게 사용되는 패킹 방식 중 하나이다.

동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? – ASEC BLOG

ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 …

MalPE 패킹 방식 샘플은 외형적으로 다음과 같이 랜덤 문자열이 존재하는 랜덤명 리소스 항목과 String Table 리소스를 가진다는 특징이 있다. 이는 매 유포마다 랜덤하게 변경되며 AV의 진단을 우회하기 위함으로 추정된다.

해당 패커는 실행 시 가상 메모리 할당 영역에 “쉘코드 + PE바이너리” 구조의 데이터를 디코딩 및 복사 후 실행한다. 이후 쉘코드는 PE바이너리를 프로세스 할로잉 기법을 통해 실행하게 된다. 대다수의 악성코드가 이와 유사한 방식으로 내부 실제 악성 데이터를 숨긴다.

CryptBot 악성코드는 감염 PC에 대한 정보와 각종 사용자 정보를 탈취하여 서버로 전송하며 추가 악성코드를 다운로드하여 설치한다. 추가 다운로드 악성코드는 주로 ClipBanker 악성코드이며, Formbook, SmokeLoader 등의 악성코드 유포도 확인되었다.

현재 추가 다운로드 악성코드는 기존 CryptBot이 사용하던 7z SFX 방식의 패킹을 그대로 사용한다. 해당 악성코드는 ClipBanker 악성코드와, 또 다른 7z SFX 파일을 드롭 후 실행한다. 해당 7z SFX 파일은 단순히 특정 C2 접속 후 자가삭제하는 기능을 한다. 이는 감염 PC 수량 및 IP를 확인하기 위한 행위로 판단된다. 7z SFX 에서 AutoIt 으로 이어지는 해당 패킹 관련 분석 내용은 이전 블로그에 상세하게 기술되어 있다.

일반적인 CryptBot 관련 감염 흐름을 그림으로 요약하면 다음과 같다. 추가적으로 다운로드 되는 샘플은 공격자의 의도에 의해 언제든지 변경이 가능하다.

공격자는 AV의 탐지를 우회하기 위해 다양한 외형으로 악성코드를 패킹하여 유포 중인 것으로 판단되며, 추후 또 다른 패킹 방식을 사용하여 유포할 가능성도 존재한다. ASEC에서는 관련 공격 과정을 면밀히 모니터링 중이며 변형 발생 시마다 빠르게 대응하고 있다. 소프트웨어의 경우 반드시 공식 배포처에서 다운로드해야 하며 크랙 등의 불법 프로그램 사용은 지양해야 한다.

현재 안랩 V3 제품군에서는 MalPE 유형과 7z SFX 유형의 CryptBot 악성코드 모두 아래와 같은 Generic 진단으로 차단 중이다.

[진단명]

MalPE 외형
Win-Trojan/MalPeP.mexp
Trojan/Win.MalPE.R424458

7z SFX 외형
Trojan/BAT.CryptLoader.S1531
Trojan/BAT.CryptLoader.S1548
Trojan/BAT.CryptLoader.S1584
Execution/MDP.Scripting.M3728

[IOC 정보]

1dd7d594dc2c9a017ec5e11602ebc37e
3d1e5706bdb597866e264e523a235905

hxxp://nimyol77[.]top/index[.]php
hxxp://morzcm07[.]top/index[.]php
hxxp://noirki10[.]top/download[.]php?file=lv[.]exe
hxxp://noirki10[.]top/downfiles/lv[.]exe
hxxp://nimjso71[.]top/index[.]php
hxxp://morzcm07[.]top/index[.]php
hxxps://iplogger[.]org/1QvMa7