악성코드 제작 툴을 위장하여 유포 중인 ClipBanker 악성코드

ASEC 분석팀은 최근 ClipBanker 악성코드가 악성코드 제작 툴로 위장하여 유포되고 있는 것을 확인하였다. ClipBanker 악성코드는 감염 시스템의 클립보드를 모니터링하면서 코인 지갑 주소 문자열이 복사된 경우 공격자가 지정한 지갑 주소로 변경시키는 기능을 갖는 악성코드이다.

이러한 유형의 악성코드는 과거부터 꾸준히 유포되고 있으며, 다음 블로그에서도 소개된 바 있다.

ClipBanker 악성코드가 유포되고 있는 사이트는 다음과 같이 “Russia black hat”이라고 하는 곳으로서 악성코드 제작 툴을 포함한 다양한 해킹 관련 프로그램들이 업로드되어 있는 곳이다.

[그림 1] ClipBanker 악성코드 유포에 사용되는 사이트

즉 해당 공격자는 다른 공격자들을 대상으로 악성코드 제작 툴뿐만 아니라 또 다른 악성코드를 함께 유포하고 있다. 이에 따라 이러한 툴을 설치한 공격자는 시스템에 ClipBanker 악성코드가 설치될 수 있다.

각 악성코드 제작 툴 다운로드 페이지를 보면 해당 악성코드에 대한 설명이 적혀있으며, 아래에 다운로드 링크가 포함되어 있다. 업로드된 악성코드 게시글들은 다수 존재하지만 여기에서는 Quasar RAT 악성코드 제작 툴을 기준으로 한다. 해당 페이지에는 Quasar RAT에 대한 간략한 소개와 함께 다운로드 링크가 제공된다.

[그림 2] 악성코드 제작 툴 다운로드 페이지 – 1
[그림 3] 악성코드 제작 툴 다운로드 페이지 – 2

위의 링크들은 각각 Mirrored.to, anonfiles, MEGA 이며 모두 동일한 rar 압축 파일을 다운로드 받을 수 있다.

[그림 4] anonfiles 악성코드 다운로드 페이지
[그림 5] MEGA 악성코드 다운로드 페이지

압축 파일을 해제하면 WinRAR Sfx로 제작된 드로퍼 악성코드가 생성된다. 드로퍼 악성코드는 내부에 Qasar RAT 악성코드 제작 툴과 함께 ClipBanker가 포함되어 있으며, 실행 시 아래와 같이 지정한 경로에 파일들을 생성한다.

[그림 6] 드로퍼 악성코드 실행 화면

압축 해제 시 드로퍼는 다음과 같이 Quasar RAT 빌더 관련 파일들과 crack.exe 파일을 지정한 경로에 생성한다. Quasar RAT 빌더는 “Quasar.exe”이며 아래와 같이 정상적으로 실행되는 것을 확인할 수 있다.

[그림 7] Quasar RAT 빌더와 함께 생성된 ClipBanker

악성코드 제작 툴 또한 유료 버전의 경우 일반 상용 프로그램처럼 인증이 필요한 경우가 있기 때문에 공개된 악성코드 빌더들은 크랙된 버전들이 많다. (참고로 Quasar RAT은 오픈 소스이며 크랙이 필요하지 않다) 이에 따라 해당 툴을 다운로드한 사용자는 저렇게 생성된 “crack.exe” 파일을 일반적인 크랙 툴로 생각할 수 있다.

하지만 crack.exe는 실제로 ClipBanker 악성코드이다. 드로퍼 악성코드는 crack.exe를 생성한 이후 최종적으로 이를 실행하고 종료되기 때문에 사용자의 의도와 상관 없이 백그라운드에서 동작하게 된다. crack.exe가 실행되면 먼저 시작 프로그램 폴더에 자신을 복사하여 재부팅 후에도 실행될 수 있도록 하며, 클립보드를 주기적으로 모니터링하면서 만약 사용자가 코인 지갑 주소를 복사한 경우 즉 클립보드에 지갑 주소가 설정된 경우 공격자의 지갑 주소로 변경한다.

일반적으로 코인 지갑 주소의 경우 일정한 형식을 갖추고 있지만 길고 랜덤한 문자열임에 따라 외우기 어렵기 때문에 사용자들은 주소를 사용할 때 복사 및 붙여넣기 하는 방식을 이용할 것이다. 하지만 이 과정에서 지갑 주소가 변경된다면 사용자가 특정 지갑으로 입금하려고 할 때 그 주소가 공격자의 지갑 주소로 변경되어 다른 지갑으로 입금될 수 있다.

ClipBanker는 클립보드를 주기적으로 모니터링하면서 문자열이 복사될 경우 아래와 같은 정규표현식에 매칭되는지 판단한다. 지갑 주소 변경 대상이 되는 코인은 비트코인, 이더리움, 모네로이다.

[그림 8] 지갑 주소들에 대한 정규표현식

정규표현식에 매칭될 경우 사용자가 복사한 지갑 주소는 다음과 같이 공격자가 지정한 지갑 주소로 변경된다.

  • 비트코인 지갑 주소 : 3JMkKMnoYW1r1vWMrkKmjHmb1tPfZMajcm
  • 이더리움 지갑 주소 : 0x9399Caa2df99fb4F17b1D914d842711eBFf3e4F4
  • 모네로 지갑 주소 : 8A9Wt3hrxTG8qXQFjeyNLkF9a9AJPfWWxSc6Fyv4suBe2xqZMGFbhrnMSRysAEYuT7LzpBsTYM4RJ8V2xWghttbNRG4Luiu
[그림 9] 변경할 지갑 주소를 포함한 설정 데이터

참고로 이전에 다룬 ClipBanker 악성코드와 달리 현재 분석 대상 ClipBanker는 클립보드를 변경하는 기능 외에도 추가적으로 변경 대상이 된 지갑 주소와 공격자가 지정한 변경된 지갑 주소를 C&C 서버에 보고하는 기능도 포함되어 있다. 아래의 URL에서 “Target Address” 항목은 기존 지갑 주소이며, “Changed With” 항목이 악성코드가 수정한 지갑 주소이다. 물론 현재 분석 대상 악성코드는 C&C 서버를 따로 지정하지 않아 정상적으로 동작하지 않지만 만약 공격자가 C&C 서버를 따로 설정한 경우에는 그 결과도 받아볼 수 있을 것이다.

[그림 10] 변경한 지갑 주소 및 변경된 지갑 주소 리포팅

일반적으로 악성코드는 평범한 사용자들을 대상으로 유포하지만, 위의 사례와 같이 악성코드를 제작하고 유포하는 공격자를 대상으로 하는 공격도 확인되고 있다. 악성코드를 제작하고 유포하는 행위 자체도 불법이지만, 이렇게 악성코드 제작 툴을 다운로드해 시도하는 것만으로도 또 다른 악성코드에 감염될 수 있다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– Dropper/Win.ClipBanker.C5014841 (2022.03.18.00)
– Malware/Win32.RL_Generic.C4356076 (2021.03.03.00)

[IOC]
드로퍼 MD5
– dbf17f8f9b86b81e0eee7b33e4868002

ClipBanker MD5
– d2092715d71b90721291a1d59f69a8cc

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments