신종 정보탈취 악성코드, 크랙 위장 유포 중
ASEC 분석팀은 S/W 크랙 및 인스톨러로 위장하여 유포되는 다양한 악성코드를 소개한 바 있다. CryptBot, RedLine, Vidar 악성코드가 대표적이다. 최근 단일 악성코드 형태의 RedLine 악성코드가 자취를 감추고(드로퍼 유형으로는 유포 중) 신종 정보 탈취 악성코드가 활발히 유포 중이다. 5월 20일 경부터 본격적으로 유포되기 시작하였으며, 해외에서는 해당 악성코드를 “Recordbreaker Stealer”로 분류하고 있으며, Raccoon Stealer의 새로운 버전이라는 분석도 존재한다.
검색엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색하여 유포 페이지로 접속한 후 압축 파일을 다운로드, 해제할 경우 악성코드가 생성된다.
해당 악성코드는 주로 대용량의 패딩 영역을 추가하여 비정상적으로 파일 크기를 키운 형태로 유포된다. 마지막 섹션과 인증서 영역 사이에 대용량의 패딩을 삽입한 구조이다.
따라서 유포지로부터 다운로드한 압축 파일은 3~7MB 크기를 가지지만 압축 해제 시 생성되는 악성코드는 300~700MB 크기로 증가한다. 악성코드의 아이콘은 주로 인스톨러를 연상케 하며 유명 소프트웨어의 아이콘을 사용하기도 한다. 이러한 방식 외에도 전형적인 패킹 형태로 드로퍼 또는 다운로더에 의하여 유포되는 케이스도 존재한다.
악성코드 실행 시 C2의 명령(설정값)에 따라 추가 라이브러리를 다운로드하며, 사용자 PC의 각종 민감 정보를 수집하여 C2로 전송한다. 이때 탈취 대상도 C2의 설정에 따라 결정되며 추가 악성코드를 설치할 수도 있다. 전체적인 실행 흐름에 대한 네트워크 행위는 다음과 같다.
최초 C2 접속 시 사용자명, MachineGUID값, 샘플 내 하드코딩된 키값을 전송하고 악성코드의 설정 데이터를 수신한다. 설정 데이터에는 정보 탈취 대상 목록과, 정보 수집 행위에 필요한 라이브러리의 다운로드 주소가 명시되어 있다.
초기 샘플에서는 C2용 도메인과 라이브러리 다운로드용 도메인이 서로 달랐지만 최근 유포 중인 샘플은 동일한 주소를 사용한다. C2의 수명은 매우 짧은 편이며 하루에도 2~3개의 새로운 C2 도메인을 가진 샘플들이 유포되고 있다. C2 통신 시 User-Agent 값으로 “record” 문자열을 사용하는 것이 특징이다.
설정 데이터에 존재하는 탈취 대상은 브라우저 플러그인 지갑, 오픈소스 지갑 등 가상 화폐와 관련된 문자열이 대부분이며, 브라우저 쿠키, 계정 및 패스워드 등의 기본적인 정보 탈취 행위는 관련 라이브러리 존재 시 기본적으로 수행되는 것으로 보인다. 다음은 분석 대상 샘플의 설정 데이터 예시이다.
| libs_nss3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll libs_msvcp140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll libs_vcruntime140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll libs_mozglue:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll libs_freebl3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll libs_softokn3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings ews_tronl:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings libs_sqlite3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll ews_bsc:fhbohimaelbohpjbbldcngcnapndodjp;BinanceChain;Local Extension Settings ews_ronin:fnjhmkhhmkbjkkabndcnnogagogbneec;Ronin;Local Extension Settings wlts_exodus:Exodus;26;exodus;*;*partitio*,*cache*,*dictionar* wlts_atomic:Atomic;26;atomic;*;*cache*,*IndexedDB* wlts_jaxxl:JaxxLiberty;26;com.liberty.jaxx;*;*cache* wlts_binance:Binance;26;Binance;*app-store.*;- wlts_coinomi:Coinomi;28;Coinomi\Coinomi\wallets;*;- wlts_electrum:Electrum;26;Electrum\wallets;*;- wlts_elecltc:Electrum-LTC;26;Electrum-LTC\wallets;*;- wlts_elecbch:ElectronCash;26;ElectronCash\wallets;*;- wlts_guarda:Guarda;26;Guarda;*;*cache*,*IndexedDB* wlts_green:BlockstreamGreen;28;Blockstream\Green;*;cache,gdk,*logs* wlts_ledger:Ledger Live;26;Ledger Live;*;*cache*,*dictionar*,*sqlite* ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings ews_meta:nkbihfbeogaeaoehlefnkodbefgpgknn;MetaMask;Local Extension Settings sstmnfo_System Info.txt:System Information: |Installed applications: | libs_nssdbm3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nssdbm3.dll wlts_daedalus:Daedalus;26;Daedalus Mainnet;*;log*,*cache,chain,dictionar* wlts_mymonero:MyMonero;26;MyMonero;*;*cache* wlts_xmr:Monero;5;Monero\\wallets;*.keys;- wlts_wasabi:Wasabi;26;WalletWasabi\\Client;*;*tor*,*log* ews_metax:mcohilncbfahbmgdjkbpemcciiolgcge;MetaX;Local Extension Settings ews_xdefi:hmeobnfnfcmdkdcmlblgagmfpfboieaf;XDEFI;IndexedDB ews_waveskeeper:lpilbniiabackdjcionkobglmddfbcjo;WavesKeeper;Local Extension Settings ews_solflare:bhhhlbepdkbapadjdnnojkbgioiodbic;Solflare;Local Extension Settings ews_rabby:acmacodkjbdgmoleebolmdjonilkdbch;Rabby;Local Extension Settings ews_cyano:dkdedlpgdmmkkfjabffeganieamfklkm;CyanoWallet;Local Extension Settings ews_coinbase:hnfanknocfeofbddgcijnmhnfnkdnaad;Coinbase;IndexedDB ews_auromina:cnmamaachppnkjgnildpdmkaakejnhae;AuroWallet;Local Extension Settings ews_khc:hcflpincpppdclinealmandijcmnkbgn;KHC;Local Extension Settings ews_tezbox:mnfifefkajgofkcjkemidiaecocnkjeh;TezBox;Local Extension Settings ews_coin98:aeachknmefphepccionboohckonoeemg;Coin98;Local Extension Settings ews_temple:ookjlbkiijinhpmnjffcofjonbfbgaoc;Temple;Local Extension Settings ews_iconex:flpiciilemghbmfalicajoolhkkenfel;ICONex;Local Extension Settings ews_sollet:fhmfendgdocmcbmfikdcogofphimnkno;Sollet;Local Extension Settings ews_clover:nhnkbkgjikgcigadomkphalanndcapjk;CloverWallet;Local Extension Settings ews_polymesh:jojhfeoedkpkglbfimdfabpdfjaoolaf;PolymeshWallet;Local Extension Settings ews_neoline:cphhlgmgameodnhkjdmkpanlelnlohao;NeoLine;Local Extension Settings ews_keplr:dmkamcknogkgcdfhhbddcghachkejeap;Keplr;Local Extension Settings ews_terra_e:ajkhoeiiokighlmdnlakpjfoobnjinie;TerraStation;Local Extension Settings ews_terra:aiifbnbfobpmeekipheeijimdpnlpgpp;TerraStation;Local Extension Settings ews_liquality:kpfopkelmapcoipemfendmdcghnegimn;Liquality;Local Extension Settings ews_saturn:nkddgncdjgjfcddamfgcmfnlhccnimig;SaturnWallet;Local Extension Settings ews_guild:nanjmdknhkinifnkgdcggcfnhdaammmj;GuildWallet;Local Extension Settings ews_phantom:bfnaelmomeimhlpmgjnjophhpkkoljpa;Phantom;Local Extension Settings ews_tronlink:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings ews_brave:odbfpeeihdkbihmopkbjmoonfanlbfcl;Brave;Local Extension Settings ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings ews_mewcx:nlbmnnijcnlegkjjpcfjclmcfggfefdm;MEW_CX;Sync Extension Settings ews_ton:cgeeodpfagjceefieflmdfphplkenlfk;TON;Local Extension Settings ews_goby:jnkelfanjkeadonecabehalmbgpfodjm;Goby;Local Extension Settings ews_ton_ex:nphplpgoakhhjchkkhmiggakijnkhfnd;TON;Local Extension Settings scrnsht_Screenshot.jpeg:1 tlgrm_Telegram:Telegram Desktop\tdata|*|*emoji*,*user_data*,*tdummy*,*dumps* token:e1cf7053cd9066b051c048495a128811 |
표 1. C2 응답 설정 데이터 전문
해당 샘플은 시스템 기본 정보 및 설치 프로그램 목록, 스크린샷, 브라우저 저장 데이터, 각종 암호화폐 지갑 정보를 탈취한다. 탈취 대상은 C2의 응답에 따라 달라질 수 있으며 스크린샷 탈취 기능이 없고 바탕화면과 내 문서 하위의 모든 txt 파일을 탈취하도록 명령하는 C2 또한 확인된다.
또한 6월 17일부터는 C2에서는 정보 탈취에 사용될 라이브러리 외에 추가적인 악성코드를 다운로드하여 실행하는 설정값을 응답하고 있다. 현재 설치되는 악성코드는 ClipBanker (74744fc068f935608dff34ecd0eb1f96) 악성코드다. 작업 스케줄러 등록을 통해 시스템에 상주하며, 클립보드의 가상 화폐 지갑 주소 문자열을 공격자의 지갑 주소 문자열로 변조하는 행위를 한다. 연관 샘플 발생 이력을 보면 유포 초기에도 이와 같은 추가 악성코드 설치 과정이 있었던 것으로 파악된다.
정보 탈취 후 ClipBanker 악성코드를 설치하는 행위는 본 악성코드와 동일한 방식으로 유포되는 CryptBot 악성코드와 유사하다. 현재 CryptBot 악성코드 또한 본문의 악성코드와 같이 활발하게 유포 중이다.
| ldr_1:http://94.158.244[.119/U4N9B5X5F5K2A0L4L4T5/84897964387342609301.bin|%TEMP%|exe |
표 2. 추가 악성코드 설치 설정 값
공격자 지갑 주소 일부는 다음과 같다.
| BTC 19iQuuqoVQPAtRhzm4GvNuM3bj4Nm29ByX 32h53ccRQW6Vyw4rqR22xmip34WcC6pnFL bc1qnd4p4vh6zvq68s7m70dvuzejfq2rfmqdlzmmse ETH 0xF22ffD5be6efc35390dfD044B7156CC56C5d41f8 DASH Xb2miQJ1JjBJA6CTh1GYfDnzduSfRacTVg DOGE D7kjwr9bTZCd4u8ws7KLvKsv71ai53vppJ LTC LUYBs28KD92zYYjG28gWq9GFvvsWE6KoeN … |
표 3. 변조 지갑 주소
Record Stealer 코드 내부의 특징으로, 자체적으로 사용하는 문자열을 복호화할 때 유의미한 문자열을 키로 사용한다. 초기에는 “credit19” 문자열을 키로 사용하였고 5월 28일 이후 유포되는 샘플은 “edinayarossiya” 문자열을 사용한다.
또한 샘플 내부에는 사용자 기본 로케일(언어) 설정이 러시아인지 확인하는 코드가 존재하지만 해당 결과에 따라 행위의 차이는 없다.
본문의 경우와 같이 크랙으로 위장하여 유포되는 악성코드는 변형이 활발하고 유포량이 많기 때문에 사용자의 주의가 필요하다. 신뢰할 수 없는 페이지로부터 파일을 다운로드하지 않아야 하며, 특히 여러 번의 리디렉션을 거쳐 다운로드되는 실행 파일은 대부분 악성 파일일 확률이 높다. 또한 압축 해제 시 용량이 비정상적으로 커질 경우 본문의 악성코드 유포 케이스를 의심해야 한다.
안랩 제품군에서는 본문의 악성코드 유형을 다음과 같은 진단명으로 진단 중이다.
- Infostealer/Win.RecordStealer.R498039
- Infostealer/Win.RecordStealer.R500009
- Infostealer/Win.PassStealer.R496906
- Trojan/Win.ClipBanker.C5166957
외 다수
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
