ASEC 분석팀에서는 국내에서 유포 중인 악성코드들을 모니터링하던 중 디스코드 메신저를 통해 마이너 악성코드가 유포 중인 것을 확인하였다. 디스코드는 과거부터 국내 사용자를 대상으로 하는 악성코드 유포에 다양한 방식으로 사용되고 있으며 아래와 같은 ASEC 블로그에서도 다룬바 있다.
공격자는 아래와 같은 “무료 로벅스생성기” 디스코드 채팅방에서 로블록스라는 게임의 화폐인 로벅스를 무료로 생성해주는 프로그램이라고 소개하며 다운로드를 유도한다.
만약 위 그림의 아래에 존재하는 “로벅스생성기-다운로드” 링크를 클릭하면 아래와 같이 압축 파일을 다운로드 받을 수 있다.
압축을 해제하면 “robux free tool.exe” 라는 이름을 가진 실행 파일을 확인할 수 있는데, 만약 이 파일을 실행할 경우 다양한 악성코드들이 단계별로 설치된다. 먼저 robux free tool.exe 파일을 실행하면 아래와 같은 에러 메시지 박스가 보여지는데, 이는 공격자가 의도한 결과로서 이러한 메시지를 확인한 사용자들은 단지 서버와의 연결이 되지 않아서 동작하지 않는 것으로 여길 것이다.
하지만 이후 사용자가 “확인” 버튼이나 X를 클릭하여 메시지 박스를 종료할 경우 실제 악성 행위가 수행된다. 이는 샌드박스 환경을 우회하기 위한 Anti Sandbox 기법으로서, 메시지 박스를 클릭하지 않는 이상 악성 행위가 수행되지 못하기 때문에 샌드박스와 같은 자동 분석 환경에서 행위를 감추기 위한 목적이다.
이렇게 실행되는 robux free tool.exe는 오토핫키로 개발되었으며 윈도우 디펜더 예외 경로에 %AppData% 및 %Temp% 경로를 등록하여 진단되지 않도록 설정한 후 다음 주소에서 추가 악성코드를 설치하는 기능을 담당한다.
– hxxps://bitbucket[.]org/wdawfg2sa/1/downloads/roTokenGrabber.exe
설치되는 roTokenGrabber.exe 악성코드는 VMProtect로 패킹되었지만 동일하게 오토핫키로 개발되었는데 이 악성코드 또한 다운로더 악성코드이다. 하지만 차이점이 존재하는데, 직접적으로 다운로드 하는 대신 다음과 같은 텀블러 페이지에 접속하여 해당 페이지에 존재하는 다운로드 URL을 참고하여 install.exe를 설치한다.
– hxxps://chiqao1y18eg1a.tumblr[.]com/post/661746225405722624
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084266185228358/install.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885086081349988362/svchost.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885085259597754378/lol.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084898862456882/dc.exe
install.exe를 설치한 후에는 구글에서 제공하는 Apps Script를 이용해 감염 시스템의 기본적인 정보들을 전송한다.
– hxxps://script.google[.]com/macros/s/AKfycbyEFoVoRATQK6Q3sjm9PAV23lpfpn_a4d6hvh7424nwv7jLIfu-MsZ71tUYTwq-74rm/exec?
cp=[CPU 이름]&
gp=[그래픽카드 이름]&
ip=[IP주소]&
time=[시간]&
anti=[설치된 안티 바이러스 이름]&
what=overwatch&
at=&
url=[install.exe URL 주소]
install.exe는 다운로더 악성코드들 중 마지막이며 이제 실질적인 3개(svchost.exe, lol.exe, dc.exe)의 악성코드를 위의 텀블러 주소에서 다운로드 받아 설치한다.
설치되는 악성코드들 중 dc.exe는 Defender Control이라고도 불리는 유틸리티로서 윈도우 디펜더 안티바이러스를 비활성화할 수 있다. 특이사항이 있다면 커맨드 라인으로 동작 가능해서 사용자의 인지 없이 윈도우 디펜더가 비활성화된다.
lol.exe는 lolMiner라고 하는 코인 마이너 악성코드로서 이더리움 코인에 대한 마이닝을 지원하며 “runtime broker.exe”라는 이름으로 설치된다. svchost.exe는 이렇게 설치된 lolMiner에 인자를 주고 실행시켜 실제 마이닝을 수행하게 하는 악성코드이다. 다음은 svchost.exe가 마이닝 풀 주소 및 공격자의 계정 정보를 주고 lolMiner를 실행시키는 루틴이다.
공격자는 게임 핵을 공유하는 디스코드 서버에서 마이닝 악성코드를 게임 핵으로 위장하여 유포하고 있으며, 이렇게 유포되는 악성코드는 사용자의 시스템에 마이너 악성코드를 설치하고 있다. 사용자들은 이러한 불법 프로그램들을 알려지지 않은 출처에서 설치하는 행위를 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.
[파일 진단]
– Malware/Win.AGEN.C4630810 (2021.09.12.03)
– Trojan/Win.Agent.R443575 (2021.10.01.03)
– Trojan/Win.Agent.C4668442 (2021.10.02.00)
– HackTool/Win.Disabler.R442117 (2021.09.20.03)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
[IOC]
파일
– robux free tool.exe : e11cab90346e0917cb1d8e270565836b
– TokenGrabber.exe : a03103c3a609b55c2b8e50a3e85f0e60
– install.exe : 3ce561ff43324e120f554a04926948e2
– dc.exe : 0a50081a6cd37aea0945c91de91c5d97
– lol.exe : 57d14b0c79cc490a7c5511b6600976dc
– svchost.exe : 340d0f2a160733b307bbe9434dd8b701
탈취 정보 전달 주소
– hxxps://script.google[.]com/macros/s/AKfycbyEFoVoRATQK6Q3sjm9PAV23lpfpn_a4d6hvh7424nwv7jLIfu-MsZ71tUYTwq-74rm/exec
악성코드 다운로드 주소
– hxxps://bitbucket[.]org/wdawfg2sa/1/downloads/roTokenGrabber.exe
– hxxps://chiqao1y18eg1a.tumblr[.]com/post/661746225405722624
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084266185228358/install.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885086081349988362/svchost.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885085259597754378/lol.exe
– hxxps://cdn.discordapp[.]com/attachments/885082747083837474/885084898862456882/dc.exe
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] ASEC 블로그를 통해 이더리움 코인을 채굴하는 공격 사례를 다루었다.[1] 공격자는 로블록스 게임 핵으로 위장하여 국내 사용자들을 대상으로 […]
[…] ASEC blog post in 2021 covered an attack case involving the mining of Ethereum coins.[1] The threat actor disguised the miner as a hack for a game called Roblox and distributed them to […]