변형된 CryptBot 정보 탈취 악성코드 유포 중

CryptBot 악성코드는 주로 크랙 및 툴 공유로 위장하여 유포되는 정보 탈취 유형의 악성코드이다. 유포 페이지는 구글 등의 검색 엔진의 검색 결과 상위에 노출되어 감염 위험이 크며 관련 진단의 탐지 수량 또한 많은 편이다. 때문에 ASEC 분석팀에서는 기존 여러 포스팅을 통해서 관련 위협에 대해 주의를 당부하였다.

• 지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드
• 다른 외형으로 유포 중인 CryptBot 정보탈취 악성코드

CryptBot 악성코드는 변형이 매우 활발한 악성코드 중 하나로, 유포 페이지는 지속적으로 새롭게 생성되며 최근 들어 변형된 버전의 CryptBot 악성코드가 유포되고 있어 관련 내용을 소개하고자 한다.

공격자가 개설해 놓은 툴 소개 및 공유를 위장한 게시글에서 다운로드 버튼을 누를 경우 다수의 리디렉션 과정을 거쳐 최종적으로 유포 페이지가 노출되는데, 지속적으로 새로운 유형이 발생하고 있다. 다음은 비교적 최근 생성된 유포 페이지의 모습이다.

유포 페이지의 변형 뿐만 아니라 CryptBot 악성코드 자체의 변형 또한 활발한 편이며 최근 대규모의 변형이 발생한 버전이 유포되고 있다. 이는 이전과 비교 시 몇몇 부가 기능이 제거되며 간소화 되었고, 최신 브라우저 환경에 맞게 정보 탈취 코드를 수정한 모습을 확인할 수 있다.

우선, 기존 CryptBot 악성코드가 가졌던 특징적인 기능 중 일부가 제거되었다. 감염 대상의 CPU 이름을 확인하여 “Xeon” 환경일 경우 악성 행위를 하지 않고 종료되는 안티 샌드박스 루틴이 제거되었다. CPU 코어 갯수와 메모리 용량을 체크하는 안티VM 루틴은 이전과 동일하게 남아있다.

탈취 정보를 두 개의 폴더에 동일하게 저장 후 각각 다른 C2로 전송하는 행위 또한 제거되었다. 따라서 기존에는 정보 탈취용 C2가 두 개, 추가 악성코드 다운로드용 C2가 한 개씩 존재하였지만 현재 유포되는 정보 탈취용 C2가 한 개로 줄었다.

코드를 살펴보면 파일 전송 시 전송된 파일 데이터를 헤더에 직접 추가하는 방식에서 단순 API를 사용하는 방식으로 변형되었으며, 전송 시의 User-Agent 값도 수정되었다. 이전 버전의 경우에는 해당 함수를 두 번 호출하여 각각의 C2로 전송하지만 변형된 버전에서는 하나의 C2 주소가 함수에 하드코딩되어있다.

또한 탈취 정보 중에서도 바탕화면에 존재하는 TXT 파일과 화면 스크린샷 수집 기능이 제거되었다. 안티 VM 루틴에 탐지되었을 경우 또는 모든 악성 행위를 마치고 종료될 경우 수행되었던 자가삭제 행위 또한 제거되었다.

기능 제거 뿐만이 아니라 기능 개선 패치 또한 존재한다. 이전 버전 CryptBot의 경우 Chrome 브라우저 정보 탈취 시 구 버전 Chrome의 경로명을 사용하기 때문에 v96(2022년 11월 릴리즈)이상 버전의 Chrome 브라우저에 대한 정보 탈취는 불가능하였다. 최근 변형 샘플의 경우 최신 크롬의 경로명을 모두 포함하고 있다.

이전 버전의 CryptBot 코드에서는 여러 탈취 대상 데이터 목록 중 하나라도 존재하지 않으면 해당 브라우저에 대한 정보탈취 행위 자체가 실패하는 구조였다. 따라서 감염 시스템이 Chrome 브라우저 v81 ~ v95의 버전을 사용 중일 경우에만 정보 탈취가 가능하였다. 이번 코드 개선으로 버전에 상관 없이 대상 데이터가 존재 시 탈취가 가능하다.

이처럼 제작자는 악성 행위에 대한 기능 개선 패치를 적용함과 동시에 불필요한 기능들을 다수 덜어내었다. CryptBot 악성코드는 패킹 방식, 내부 코드, C2 등의 변형이 매우 활발하고 유포 페이지가 사용자에게 쉽게 노출된다는 특징이 있기 때문에 사용자의 주의가 필요하다.

다음은 최근 약 1 주일간 유포된 CryptBot 악성코드의 IOC 정보이다.

[IOC 정보]

• MD5
  

• 전송 C2

• 다운로드 C2
  

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.