변형된 CryptBot 정보 탈취 악성코드 유포 중

CryptBot 악성코드는 주로 크랙 및 툴 공유로 위장하여 유포되는 정보 탈취 유형의 악성코드이다. 유포 페이지는 구글 등의 검색 엔진의 검색 결과 상위에 노출되어 감염 위험이 크며 관련 진단의 탐지 수량 또한 많은 편이다. 때문에 ASEC 분석팀에서는 기존 여러 포스팅을 통해서 관련 위협에 대해 주의를 당부하였다.

CryptBot 악성코드는 변형이 매우 활발한 악성코드 중 하나로, 유포 페이지는 지속적으로 새롭게 생성되며 최근 들어 변형된 버전의 CryptBot 악성코드가 유포되고 있어 관련 내용을 소개하고자 한다.

공격자가 개설해 놓은 툴 소개 및 공유를 위장한 게시글에서 다운로드 버튼을 누를 경우 다수의 리디렉션 과정을 거쳐 최종적으로 유포 페이지가 노출되는데, 지속적으로 새로운 유형이 발생하고 있다. 다음은 비교적 최근 생성된 유포 페이지의 모습이다.

그림1. 악성코드 유포 페이지 예시

유포 페이지의 변형 뿐만 아니라 CryptBot 악성코드 자체의 변형 또한 활발한 편이며 최근 대규모의 변형이 발생한 버전이 유포되고 있다. 이는 이전과 비교 시 몇몇 부가 기능이 제거되며 간소화 되었고, 최신 브라우저 환경에 맞게 정보 탈취 코드를 수정한 모습을 확인할 수 있다.

우선, 기존 CryptBot 악성코드가 가졌던 특징적인 기능 중 일부가 제거되었다. 감염 대상의 CPU 이름을 확인하여 “Xeon” 환경일 경우 악성 행위를 하지 않고 종료되는 안티 샌드박스 루틴이 제거되었다. CPU 코어 갯수와 메모리 용량을 체크하는 안티VM 루틴은 이전과 동일하게 남아있다.

탈취 정보를 두 개의 폴더에 동일하게 저장 후 각각 다른 C2로 전송하는 행위 또한 제거되었다. 따라서 기존에는 정보 탈취용 C2가 두 개, 추가 악성코드 다운로드용 C2가 한 개씩 존재하였지만 현재 유포되는 정보 탈취용 C2가 한 개로 줄었다.

그림2. 기존 CryptBot(상) 및 변형 CryptBot(하)의 C2 통신 비교

코드를 살펴보면 파일 전송 시 전송된 파일 데이터를 헤더에 직접 추가하는 방식에서 단순 API를 사용하는 방식으로 변형되었으며, 전송 시의 User-Agent 값도 수정되었다. 이전 버전의 경우에는 해당 함수를 두 번 호출하여 각각의 C2로 전송하지만 변형된 버전에서는 하나의 C2 주소가 함수에 하드코딩되어있다.

그림3. 기존 CryptBot(상) 및 변형 CryptBot(하)의 C2 전송 코드 비교

또한 탈취 정보 중에서도 바탕화면에 존재하는 TXT 파일과 화면 스크린샷 수집 기능이 제거되었다. 안티 VM 루틴에 탐지되었을 경우 또는 모든 악성 행위를 마치고 종료될 경우 수행되었던 자가삭제 행위 또한 제거되었다.

그림4. 기존 CryptBot(좌) 및 변형 CryptBot(우)의 Main 루틴 함수 비교

기능 제거 뿐만이 아니라 기능 개선 패치 또한 존재한다. 이전 버전 CryptBot의 경우 Chrome 브라우저 정보 탈취 시 구 버전 Chrome의 경로명을 사용하기 때문에 v96(2022년 11월 릴리즈)이상 버전의 Chrome 브라우저에 대한 정보 탈취는 불가능하였다. 최근 변형 샘플의 경우 최신 크롬의 경로명을 모두 포함하고 있다.

이전 버전의 CryptBot 코드에서는 여러 탈취 대상 데이터 목록 중 하나라도 존재하지 않으면 해당 브라우저에 대한 정보탈취 행위 자체가 실패하는 구조였다. 따라서 감염 시스템이 Chrome 브라우저 v81 ~ v95의 버전을 사용 중일 경우에만 정보 탈취가 가능하였다. 이번 코드 개선으로 버전에 상관 없이 대상 데이터가 존재 시 탈취가 가능하다.

그림5. 기존 CryptBot(좌) 및 변형 CryptBot(우)의 탈취 정보 경로명 비교

이처럼 제작자는 악성 행위에 대한 기능 개선 패치를 적용함과 동시에 불필요한 기능들을 다수 덜어내었다. CryptBot 악성코드는 패킹 방식, 내부 코드, C2 등의 변형이 매우 활발하고 유포 페이지가 사용자에게 쉽게 노출된다는 특징이 있기 때문에 사용자의 주의가 필요하다.

다음은 최근 약 1 주일간 유포된 CryptBot 악성코드의 IOC 정보이다.

[IOC 정보]

  • MD5
28e1397f9233badf815e22ef2e13634f
33e6e82f629715ce89424c41a847e889
0ceba86a7ab680d71f3dc99bbbec3368
74829260d3acddf20a4cc250e24e4d5e
d02b62d008db43c824966101345d65a4
ffe738f3cd8b8dc7e698fb3ded271d98
8f3c845153fe6e83d47b747881588c72
0169a24e049b4a8737256f06a7b666d2
98a86c1d2ffd2ebf30e0cc36efa8aef9
c2c2ced2d3319f3e89e546c7e96da4f9
599d2007777226487a4eb01cef954f99
f3ab03c11b45d48d8efd4206b1d17ccd
7c942ca86fa10d68691df2c13f8b2467
3d83e57852c8e379345a8c34ad2a14c9
2a05717d483b3a8829a50cd977967040
31a6aeffae90556406e82c18abaddd65
cb0eef45148b712e666df23d0015aa82
d6227c96b116293d2d08f50e8f717357
1db0cc5e74198d5c09237795279efb28
d0396014bd3219537b179e2133d7dd18
86d1ed1246c35d69ec580ff2ce8b189f
352f837f51b792c978c27cdac4be2453
f404488eb9ace976f872e5a953c3329c
66b944035e6369c84cbb2c8c4139e556
75330228fce69f2537afb5846c69a7ca
46142e232243bd7d6cbfe8dc8d576316
70e9dfc595511ad71d543860433b02f5
9bcacf1770295c8b2ccebfe8e843ccec
ccbad7304639bd0b93baad2a877923fd
eb7e00aa720c6145aa13608a4623f40b
26f659c0b4125fcaec364fdcbdece018
fe327314eb2f29690ae99baadb888651
c9a0476bb60feb1d02fba5b22f094db6
b4a37286503fe571115a590349fc2dee
41d859a85dc5d2b405fc702f9df95265
2f9e56c5eea5f4b7b880b0d26d140b63
710f4efa4dc52b36901266fc0c09d810
f2f6b2d9575d556855f12f6d244c5e9b
  • 전송 C2
rygqwf41[.]top/index.php
rygedj410[.]top/index.php
rygzil43[.]top/index.php
rygiow53[.]top/index.php
rygofx510[.]top/index.php
rygsay57[.]top/index.php
ryghim51[.]top/index.php
rygcwa58[.]top/index.php
rygvpi61[.]top/index.php
rygykd610[.]top/index.php
rygkhf63[.]top/index.php
rygckz67[.]top/index.php
rygnih710[.]top/index.php
rygcgf73[.]top/index.php
rygsvk77[.]top/index.php
rygcup71[.]top/index.php
jugpry110[.]top/index.php
juglqr13[.]top/index.php
jugqay17[.]top/index.php
jugkeo11[.]top/index.php
jugrjb23[.]top/index.php
jugxmo21[.]top/index.php
jugfwr33[.]top/index.php
jugndj31[.]top/index.php
  • 다운로드 C2
gewfih05[.]top/download.php?file=fusate.exe
gewfec07[.]top/download.php?file=insane.exe
gewuib08[.]top/download.php?file=scrods.exe
gewtuq10[.]top/download.php?file=swaths.exe
kanimx01[.]top/download.php?file=zoster.exe
kanlsu03[.]top/download.php?file=avulse.exe
kanefo04[.]top/download.php?file=diazin.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments