신종 정보탈취 악성코드, 크랙 위장 유포 중

ASEC 분석팀은 S/W 크랙 및 인스톨러로 위장하여 유포되는 다양한 악성코드를 소개한 바 있다. CryptBot, RedLine, Vidar 악성코드가 대표적이다. 최근 단일 악성코드 형태의 RedLine 악성코드가 자취를 감추고(드로퍼 유형으로는 유포 중) 신종 정보 탈취 악성코드가 활발히 유포 중이다. 5월 20일 경부터 본격적으로 유포되기 시작하였으며, 해외에서는 해당 악성코드를 “Recordbreaker Stealer”로 분류하고 있으며, Raccoon Stealer의 새로운 버전이라는 분석도 존재한다.

그림 1. 악성코드 유포 페이지

검색엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색하여 유포 페이지로 접속한 후 압축 파일을 다운로드, 해제할 경우 악성코드가 생성된다.

해당 악성코드는 주로 대용량의 패딩 영역을 추가하여 비정상적으로 파일 크기를 키운 형태로 유포된다. 마지막 섹션과 인증서 영역 사이에 대용량의 패딩을 삽입한 구조이다.

따라서 유포지로부터 다운로드한 압축 파일은 3~7MB 크기를 가지지만 압축 해제 시 생성되는 악성코드는 300~700MB 크기로 증가한다. 악성코드의 아이콘은 주로 인스톨러를 연상케 하며 유명 소프트웨어의 아이콘을 사용하기도 한다. 이러한 방식 외에도 전형적인 패킹 형태로 드로퍼 또는 다운로더에 의하여 유포되는 케이스도 존재한다.

그림 2. 악성코드 아이콘

악성코드 실행 시 C2의 명령(설정값)에 따라 추가 라이브러리를 다운로드하며, 사용자 PC의 각종 민감 정보를 수집하여 C2로 전송한다. 이때 탈취 대상도 C2의 설정에 따라 결정되며 추가 악성코드를 설치할 수도 있다. 전체적인 실행 흐름에 대한 네트워크 행위는 다음과 같다.

그림 3. 네트워크 행위 정보

최초 C2 접속 시 사용자명, MachineGUID값, 샘플 내 하드코딩된 키값을 전송하고 악성코드의 설정 데이터를 수신한다. 설정 데이터에는 정보 탈취 대상 목록과, 정보 수집 행위에 필요한 라이브러리의 다운로드 주소가 명시되어 있다.

그림 4. 최초 C2 송신 패킷
그림 5. C2 설정 데이터 수신 패킷

초기 샘플에서는 C2용 도메인과 라이브러리 다운로드용 도메인이 서로 달랐지만 최근 유포 중인 샘플은 동일한 주소를 사용한다. C2의 수명은 매우 짧은 편이며 하루에도 2~3개의 새로운 C2 도메인을 가진 샘플들이 유포되고 있다. C2 통신 시 User-Agent 값으로 “record” 문자열을 사용하는 것이 특징이다.

그림 6. C2 통신 시의 User-Agent

설정 데이터에 존재하는 탈취 대상은 브라우저 플러그인 지갑, 오픈소스 지갑 등 가상 화폐와 관련된 문자열이 대부분이며, 브라우저 쿠키, 계정 및 패스워드 등의 기본적인 정보 탈취 행위는 관련 라이브러리 존재 시 기본적으로 수행되는 것으로 보인다. 다음은 분석 대상 샘플의 설정 데이터 예시이다.

libs_nss3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll libs_msvcp140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll libs_vcruntime140:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll libs_mozglue:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll libs_freebl3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll libs_softokn3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings
ews_tronl:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings libs_sqlite3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll
ews_bsc:fhbohimaelbohpjbbldcngcnapndodjp;BinanceChain;Local Extension Settings
ews_ronin:fnjhmkhhmkbjkkabndcnnogagogbneec;Ronin;Local Extension Settings
wlts_exodus:Exodus;26;exodus;*;*partitio*,*cache*,*dictionar*
wlts_atomic:Atomic;26;atomic;*;*cache*,*IndexedDB*
wlts_jaxxl:JaxxLiberty;26;com.liberty.jaxx;*;*cache*
wlts_binance:Binance;26;Binance;*app-store.*;-
wlts_coinomi:Coinomi;28;Coinomi\Coinomi\wallets;*;-
wlts_electrum:Electrum;26;Electrum\wallets;*;-
wlts_elecltc:Electrum-LTC;26;Electrum-LTC\wallets;*;-
wlts_elecbch:ElectronCash;26;ElectronCash\wallets;*;-
wlts_guarda:Guarda;26;Guarda;*;*cache*,*IndexedDB*
wlts_green:BlockstreamGreen;28;Blockstream\Green;*;cache,gdk,*logs*
wlts_ledger:Ledger Live;26;Ledger Live;*;*cache*,*dictionar*,*sqlite*
ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings
ews_meta:nkbihfbeogaeaoehlefnkodbefgpgknn;MetaMask;Local Extension Settings
sstmnfo_System Info.txt:System Information:
|Installed applications:
|
libs_nssdbm3:http://146.19.247[.28/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nssdbm3.dll
wlts_daedalus:Daedalus;26;Daedalus Mainnet;*;log*,*cache,chain,dictionar* wlts_mymonero:MyMonero;26;MyMonero;*;*cache*
wlts_xmr:Monero;5;Monero\\wallets;*.keys;- wlts_wasabi:Wasabi;26;WalletWasabi\\Client;*;*tor*,*log* ews_metax:mcohilncbfahbmgdjkbpemcciiolgcge;MetaX;Local Extension Settings
ews_xdefi:hmeobnfnfcmdkdcmlblgagmfpfboieaf;XDEFI;IndexedDB ews_waveskeeper:lpilbniiabackdjcionkobglmddfbcjo;WavesKeeper;Local Extension Settings ews_solflare:bhhhlbepdkbapadjdnnojkbgioiodbic;Solflare;Local Extension Settings ews_rabby:acmacodkjbdgmoleebolmdjonilkdbch;Rabby;Local Extension Settings
ews_cyano:dkdedlpgdmmkkfjabffeganieamfklkm;CyanoWallet;Local Extension Settings ews_coinbase:hnfanknocfeofbddgcijnmhnfnkdnaad;Coinbase;IndexedDB
ews_auromina:cnmamaachppnkjgnildpdmkaakejnhae;AuroWallet;Local Extension Settings
ews_khc:hcflpincpppdclinealmandijcmnkbgn;KHC;Local Extension Settings
ews_tezbox:mnfifefkajgofkcjkemidiaecocnkjeh;TezBox;Local Extension Settings
ews_coin98:aeachknmefphepccionboohckonoeemg;Coin98;Local Extension Settings
ews_temple:ookjlbkiijinhpmnjffcofjonbfbgaoc;Temple;Local Extension Settings
ews_iconex:flpiciilemghbmfalicajoolhkkenfel;ICONex;Local Extension Settings
ews_sollet:fhmfendgdocmcbmfikdcogofphimnkno;Sollet;Local Extension Settings
ews_clover:nhnkbkgjikgcigadomkphalanndcapjk;CloverWallet;Local Extension Settings ews_polymesh:jojhfeoedkpkglbfimdfabpdfjaoolaf;PolymeshWallet;Local Extension Settings ews_neoline:cphhlgmgameodnhkjdmkpanlelnlohao;NeoLine;Local Extension Settings
ews_keplr:dmkamcknogkgcdfhhbddcghachkejeap;Keplr;Local Extension Settings
ews_terra_e:ajkhoeiiokighlmdnlakpjfoobnjinie;TerraStation;Local Extension Settings
ews_terra:aiifbnbfobpmeekipheeijimdpnlpgpp;TerraStation;Local Extension Settings ews_liquality:kpfopkelmapcoipemfendmdcghnegimn;Liquality;Local Extension Settings ews_saturn:nkddgncdjgjfcddamfgcmfnlhccnimig;SaturnWallet;Local Extension Settings ews_guild:nanjmdknhkinifnkgdcggcfnhdaammmj;GuildWallet;Local Extension Settings ews_phantom:bfnaelmomeimhlpmgjnjophhpkkoljpa;Phantom;Local Extension Settings ews_tronlink:ibnejdfjmmkpcnlpebklmnkoeoihofec;TronLink;Local Extension Settings
ews_brave:odbfpeeihdkbihmopkbjmoonfanlbfcl;Brave;Local Extension Settings
ews_meta_e:ejbalbakoplchlghecdalmeeeajnimhm;MetaMask;Local Extension Settings
ews_ronin_e:kjmoohlgokccodicjjfebfomlbljgfhk;Ronin;Local Extension Settings
ews_mewcx:nlbmnnijcnlegkjjpcfjclmcfggfefdm;MEW_CX;Sync Extension Settings
ews_ton:cgeeodpfagjceefieflmdfphplkenlfk;TON;Local Extension Settings
ews_goby:jnkelfanjkeadonecabehalmbgpfodjm;Goby;Local Extension Settings
ews_ton_ex:nphplpgoakhhjchkkhmiggakijnkhfnd;TON;Local Extension Settings
scrnsht_Screenshot.jpeg:1
tlgrm_Telegram:Telegram Desktop\tdata|*|*emoji*,*user_data*,*tdummy*,*dumps*
token:e1cf7053cd9066b051c048495a128811  
표 1. C2 응답 설정 데이터 전문

해당 샘플은 시스템 기본 정보 및 설치 프로그램 목록, 스크린샷, 브라우저 저장 데이터, 각종 암호화폐 지갑 정보를 탈취한다. 탈취 대상은 C2의 응답에 따라 달라질 수 있으며 스크린샷 탈취 기능이 없고 바탕화면과 내 문서 하위의 모든 txt 파일을 탈취하도록 명령하는 C2 또한 확인된다.

그림 7. 탈취 데이터 일부 (chrome 브라우저)

또한 6월 17일부터는 C2에서는 정보 탈취에 사용될 라이브러리 외에 추가적인 악성코드를 다운로드하여 실행하는 설정값을 응답하고 있다. 현재 설치되는 악성코드는 ClipBanker (74744fc068f935608dff34ecd0eb1f96) 악성코드다. 작업 스케줄러 등록을 통해 시스템에 상주하며, 클립보드의 가상 화폐 지갑 주소 문자열을 공격자의 지갑 주소 문자열로 변조하는 행위를 한다. 연관 샘플 발생 이력을 보면 유포 초기에도 이와 같은 추가 악성코드 설치 과정이 있었던 것으로 파악된다.

정보 탈취 후 ClipBanker 악성코드를 설치하는 행위는 본 악성코드와 동일한 방식으로 유포되는 CryptBot 악성코드와 유사하다. 현재 CryptBot 악성코드 또한 본문의 악성코드와 같이 활발하게 유포 중이다.

ldr_1:http://94.158.244[.119/U4N9B5X5F5K2A0L4L4T5/84897964387342609301.bin|%TEMP%|exe
표 2. 추가 악성코드 설치 설정 값
그림 8. ClipBanker 악성코드의 작업스케줄러 등록

공격자 지갑 주소 일부는 다음과 같다.

BTC
19iQuuqoVQPAtRhzm4GvNuM3bj4Nm29ByX
32h53ccRQW6Vyw4rqR22xmip34WcC6pnFL
bc1qnd4p4vh6zvq68s7m70dvuzejfq2rfmqdlzmmse
ETH
0xF22ffD5be6efc35390dfD044B7156CC56C5d41f8
DASH
Xb2miQJ1JjBJA6CTh1GYfDnzduSfRacTVg
DOGE
D7kjwr9bTZCd4u8ws7KLvKsv71ai53vppJ
LTC
LUYBs28KD92zYYjG28gWq9GFvvsWE6KoeN
표 3. 변조 지갑 주소

Record Stealer 코드 내부의 특징으로, 자체적으로 사용하는 문자열을 복호화할 때 유의미한 문자열을 키로 사용한다. 초기에는 “credit19” 문자열을 키로 사용하였고 5월 28일 이후 유포되는 샘플은 “edinayarossiya” 문자열을 사용한다.

그림. RC4 키 변화
그림 9. 문자열 번역 결과

또한 샘플 내부에는 사용자 기본 로케일(언어) 설정이 러시아인지 확인하는 코드가 존재하지만 해당 결과에 따라 행위의 차이는 없다.

그림 10. 러시아 환경 확인 코드

본문의 경우와 같이 크랙으로 위장하여 유포되는 악성코드는 변형이 활발하고 유포량이 많기 때문에 사용자의 주의가 필요하다. 신뢰할 수 없는 페이지로부터 파일을 다운로드하지 않아야 하며, 특히 여러 번의 리디렉션을 거쳐 다운로드되는 실행 파일은 대부분 악성 파일일 확률이 높다. 또한 압축 해제 시 용량이 비정상적으로 커질 경우 본문의 악성코드 유포 케이스를 의심해야 한다.

안랩 제품군에서는 본문의 악성코드 유형을 다음과 같은 진단명으로 진단 중이다.

  • Infostealer/Win.RecordStealer.R498039
  • Infostealer/Win.RecordStealer.R500009
  • Infostealer/Win.PassStealer.R496906
  • Trojan/Win.ClipBanker.C5166957
    외 다수

유포된 샘플의 IOC 정보는 아래와 같다.

[IOC정보]

332790b27d3492dbcfb053213be95aa6
2d355ad6f26126ab10939bc68818df20
bc1d075b6bd88430bd6ba076a31a75db
4ef6f8d71a4855a4a6c87a1d09d91924
4a2c4c69b3ff3ced4b5f32621e4afb1e
ece994c1a16e969a20e859bbcc3300c2
0f8b9dddaf33692f797af885053458c0
8f8baad3738978e89aecf930a55a8840
e4f748b9433a7b31d436ae2620a5dc9f
4c4adbe5b0c006c383ada4b51d576367
3dfd7a1091eb03c8ffe03306d069081d
8cf1861aa02965cab5cf1dc1ed0821ad
42ba0500b667c71c4fbbe8f66e1b2627
445688259f0f04de4a03f0daeeccd2d9
43accad6e9abf5820c943ef2cb5c175f
3fd4c095ae9b1e99f060e7ee88244789
e8cd7da72640c0c7b89d769672d65958
90298e10dea99d7d091cfef8e15a9367
7699b02b0b1f7e26c26ebd01d65a62e7
7fce82d24080babb0e6e41ba9e79c1a3
d859c09c137225f836172bc1d4cc6f21
34df81354b6bf1f0eafa5df2a3e5f71e
971e560202527bacef605d43d0d213d0
97434bd88a152935fc38ed202f008295
ac1c7bcac4c30448c511de68ee48a146
f2feaff126f48ea93e05545edeff8c0a
72861a83b24ee675777eaeb268cea9c9
6c1405a8f9d898efcd1a7a8daa274b50
b7f90be034d815963a66195b4fd90be3
d2b11235ef8cd5b6fd8d0fb684d3b47a
755556a2d66e514997efde062e0d9a65
172aa3fedfccef804e75d3b042661bc8
02b4bc8444cbbe15c4d5cac0c64dbd40
fd6557f07bdd0e5771da4bb1613eb6aa
4086f7c1840a0eb2d625e012e837d709
9d6d5dd372b5b51e3c4ca12d9bba3eb9
d0080ca076e3ea423bdf986bca75efd8
baf62ea48663cbdae773f4204f0d2ea8
6a4e01b36a7d4f53ebc168d7477f0314
383ff41fe40807f54610dd41f7f822bc
330586deef7c0ee8e1ee22b2f9300bd3
cf763bea41f97b855ad031881cb36346
5c3e7c8e0e1f48afe73a0b4d5b99f971
465ba05174a883a48bfb911c2099d79b
47c7c7ae4eb4138c608d909242890b9b
92cfff39131418d225d1b9ae594439e9
358a4e60b39dd676e335d72b5e51b7b6
4b2d29759cffb05e3189624d65e0c68b
dd68d80e3a192c961f6e4d9f82e5e61f
22254f2affcaf0ff51f134d9d7a6cdd0
3d62a1947d7bd2e080bf01a335641758
6deaaf1ee18ce9f1c3d4e87500935dab
7c6364e6de8f2cb2ad40b277e75c254f
27c6b342acbcec0948617e6a717d3bc6
6230b5b503f3bc949d00ff9b6fb48dc8
d5e3261429d0da5d4e888fc9fa620a96
f8c5748e420dc63e9cfb5e586b52949a
6952c23c148f4c33d540ff07d16848f2
45b25bfbdc596dd652afbf9f726687e7
b49e7a4fa840f1dcb3fa32c239b407e1
5346cbbb4b4c97b45026bbc694fd2b74
10f3c06147e8c5ab5f970564680f25c4
f5051b4b9c770dc6ce3eae3b4356b699
f3ab4622e89cfcc106fc6c7be97ce812
b7ab0f8dd254d76a653e594ba9263b90
fcc8ec86b1b37000a72b2ca6e716919a
ba53ebc4c10ae6b2730eab30744a126f
21f227e36b03b02ee251e2e4bca9573b
8f05bddab4ecf2ba1d16df55a56de98f
ab5f3b6a6cbf4b9d7d4f3166a80140bd
a047cd8946a904d0de370dab092bfd5a
945240b56128fb9b334ca47726b0a87e
4a07d469ca9874200633c00f5bd76452
e7c7c64698966c7ecd71b1909be71a21
8b9498705419be67bc3063731d43777f
34371b979ad262c7af09c5dfe0418229
074e3f68a87a7eed362466c685ca4190
4aaff7576b2e0303b3f9824cb1882ee5
1ee58f92c30ffe9e80a9d1ee60bfc239
4e5637c09c9d701337f5d756f6aa8acf
a82466828dd65eb682aaab22063bef0c
f488d416591804de8c7b77ea583e31b0
0780032bf2f27c0e51b329168b562618
9415a5994e6bcde587f7aa3e1399bd93
983d1d312043bff5941497300f8fb06a
8075304d4882ac74378520238b6a681c
cb113e6c1602b81ee827d2d7bdae1800
49c15079868f62fbae8edd3c06cf8f51
9df168cb0251491729ff332a18134c20
8e372255a7cf6c739fdca41678a64b15
85a8c2bc828e9d6365516daff531722f
b5488bb8d62accf866bf193ea8acc505
cb7e2937365f8942feaad6e8487c2b06
5680fc474b9dcb3d515e49092eea2e15
2bdfa9ce4b24d5ea8c4e2c0288b44725
b89918401b0957e0921d7b267eee885d
cd0d2cc0efe15ffde0b60234e29a8005
21439ab3a7d7c960621145a14ab0bd0f
fd2ed0bcaa3bf9f9012c135a137fc329
147a555541c76cbcfe55a3e505df197c
30a3a8f1f2dd90accd705ca12fc80f74
af6537878614a6e6971fef54233f51e6
a6b8a9927c920e793d883d0b7631f8d4
b0bc998182378e73e2847975cc6f7eb3
51c6ad9eab6267925656924a351ae13b
b847cde6ce88fa03cc909b8e45ba6dba
db482eeb970193f1b0fbbe6dd4cdc5b4
d262074d37eb72681b0b85c9c79b8fe1
2f2d8b1cf3f0ca1d722013b0615ebd54
729005107f1026a3664121a0ac052504
6cb37bdcc570837923f8419e4c1b34f8
06c09cc561f860fec73a342d5948c064
a075d4bbda33545aa15f96391cefbf2b
0f4ed9b7a9ee3a80e273ce332bb11235
10a9581d0e113d9d45880165e85b67a5
d84e24263177be9ad620752ae206bd30
73cbe86945b917028d2212bec5ca595b
4574619733f885d5d39ce550ff18b6f6
8c4ffff98e9a1c72d4247e685c3a31c6
d17cf1277dcfbb1e41834b062b7a5aab
babba2eebf3e08915b3591bff3ccdce7
3d579bead2f7b3278a0f972682b99e38
f200f26210bfed9b002311f1b5198a10
616e8eb19032cedfb9441a091ae5cb64
9661191d2adb1a95984138c92f19bf30
a06c629ef9877c2c446834a7eaab3073
9f540ba449773093da2ada4923db520f
6d3dd4fc68c5598e0347a36e503f92f3
80660ba3b10b7fe4feb656c44df587d8
ab0512eb7c907b3ef2750b179346d8a1
c2fb5bef7c61dd0ac8dc59d8919d3421
a554637bf7d52643654cc35cf4e22c47
5f4f37da56a0b7426b2cb0191dd22181
c1659ba772ec431e8bb575b9e63e49a0
b572f18ab2c238165a9349df09cc72e6
8a121fd92c5ccf804f7682de0aa4f685
ab4e107e321ac19c3c090cbd6d1b8812
e4885099383aaee527615be9adc2ffb2
6493b517bc57b1b00094185c6ad3c09e
dace3c11c353e8bfc53a0947523c384f
ef2620fa2807a848931af57009c93e21
b5945e4b64ceb66622b1b8cacc61aaf5
e6a67b23ffa228e1e8b6bf5218a697a9
33d4490825907ab68948d291646d32ac
a80480873127f8a19e8c32b3e1875b10
ead5a99e6ffd50a7266490f332a3cd97
2fec9c03762951058ebedb2b05a21467
93616597668efdb867ddf7cd57770cbf
9474e5bacc81c3c9f89ea715f5dc0386
f76a39ac0554660bf42ef5183f307e98
0013a631fa834f5bc5e030915f04bae3
911218c5a4b27ed64d9468072e40fbe2
8cc96afcbafc216bad7391bd5620a1ab
8a30464e46e5f0800897c8025dc02bd0
4814dc4de03142394f933f2f8846c38d
3a77e0d698fc6b4a1e94c159a1bda8b5
5cf3f56705d8aeebd97f323840a13be9
1e2c588fd8c283645d649a599ee49869
0bf526b8701b6d0eaa0e311c1f5a6ef3
6757060c69b972cf6489383067d97820
ba9f64fb8b97a949f4fe43897a6deb56
b654223ed3a206a4891c34cb5349144c
1643c8501d99d9a031b1805769184eaf
27f82fdd3c622392caa5540ed2741eec
cf181224828ded7b37834babee5be0ef
579d7fa7639968257bc0d21385aa39fe
a75d1f6001bdd7df73e12df1a6770667
5eed20e9348acc3b71225473703de630
3295b36d17b708dfb440fa2f00e66a69
9bb5a5eef53fed1e923dce65114fe846
e38de205a3a00faa37a2131da2ba7e29
0e44093ebeaedda84484b2c2aa27b710
1d1b932e0284e99878c93fd4cf934497
308666c3b12efa97a6c0722fcad19a47
659859eccf3ca06f065a40ca4e1d0ac8
7727f9c2445997ab806dfe1f3c16f645
7f6565f4538b2167c9608f9459ebf3cd
8108d757b65227cc4428180d44cec461
87c9bd5be621a173953545353d458626
8eb5819ff908c5890f6e617f2ba31697
9b24498112ea88917df8f138f153eaff
a1925bd16eb3eb45541844a7a4c5c778
a2d05309339c936347ef5ec6ba6de599
bb88c45170f33694cad8ded6464ce67a
bee6b738b50f7de3299fa1b315f0ca93
f8a8a1a16abc8bb63435265f6f4d018e
3e2d0c1798a20041337629893cb2b2ea
5b1f089eb6b51bee30f41f21933701fc
b2efc4f86da56c893701f675f8e12f20
e729c14e3ba0a6eff92196a8047c3a08
058874fe5f95c762a3fa016faf1077a1
102ffcae7b93356fa9f026fc0ecbd87c
14027e925ba400d5d3c85269bfb85196
1aa62bee653e407407ba2c87191f9ff7
3685b25e7475717662b1e23b74d1edcd
45a4fbd5164e0e10858528a26c721c99
49a39ad81be36f89ba9f49f69f943e17
5299c2c153a12ced50c16c9ec1ca7ac1
566b3dc0343ed81b579e4a9c37046707
58a3b17d7372a1f103c1d9d45519c251
71f0b632f60d7b1ab64cdfaf4efe32b9
74c68591bcb11a3965d3a8b1db397eb7
8fd8ed5ea8f136d76ea4197aae294907
917f313839228817ae37504ce3ff8b0a
a84e969ef5ed6c1022ec5080d954d800
aaa1308971ba5bfab1f83bbb170cdb4c
ac1ab1dcd21eb9529b6b56b29206812f
b708193b603fa922880c2f95e1fce5d1
c5963cf4bb3f4ae56c42a50f0edf5988
0819aafa9f39989135d5d8653bfca06f
14852cfea97c792ca83ecbf8dfa84f18
15173dce1e7f34b1982d13504a38348a
2c005f8899716e3bb66b06faa2cbcaab
2fd256b3be897b7270701dca32e52f2b
48a089a2db266c7f98faec0e04e0d5c3
5591e0d68e650af9e5e504daa72a5e9d
8190f0e27758edb6b797ad3dc21de59a
b1fadc639f3e37ca7f074d17c43063bc
cc6bc8ed20240c6778caa26317730ebe
eb829d4dea8cf69ab505e55ac01a8ffa
f719802a1bef015e21971bebcc0657c8
563eb6fe83d4f1fe97d20fb20c672601
07ef759b069dd67294511b6991e3e494
230035168e2e6cd6f3d539d161f42732
2e8c324223dbfb13e7fa96df8cd4fc97
7f25d6f78a5584b4f40e8500eed53409
bb3cfe4e4ac4be35debbe05761a5cb2e
9c25f4974604a5f756b5b5ba55c13d38
194.180.174[.]180
94.158.244[.]213
45.142.212[.]100
45.140.146[.]169
194.180.174[.]187
194.180.174[.]186
brain-lover[.]xyz
135.181.105[.]89
load-brain[.]xyz
77.91.102[.]88
use-freedom[.]xyz
software-load[.]xyz
interactive-soft[.]xyz
77.91.103[.]31
broke-bridge[.]xyz
94.158.247[.]24
just-trust[.]xyz
really-software[.]xyz
feel-quite[.]xyz
viper-air[.]xyz
polar-gift[.]xyz
retro-rave[.]xyz
cool-story[.]xyz
fall2sleep[.]xyz
heal-brain[.]xyz
tech-lover[.]xyz
love-light[.]xyz
soft-viper[.]site
side-soft[.]site
both-those[.]xyz
violance-heck[.]site
main-soft[.]site
85.239.34[.]235
fill-empty[.]xyz
cover-you[.]site
45.67.34[.]234
45.67.34[.]238
45.142.215[.]92
fall-hire[.]site
violance-rave[.]site
45.153.230[.]183
45.152.86[.]98
74.119.193[.]57
77.91.74[.]67
146.19.247[.]28
77.91.102[.]115
45.159.251[.]21
146.19.247[.]52
45.142.215[.]50
45.150.67[.]175
45.133.216[.]170
193.43.146[.]22
193.43.146[.]26
146.70.124[.]71
193.43.146[.]17
146.19.75[.]8
45.84.0[.]152
45.133.216[.]249
45.67.34[.]152
45.133.216[.]145

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest

1 댓글
Inline Feedbacks
View all comments
trackback

[…] 신종 정보탈취 악성코드, 크랙 위장 유포 중 […]