웹하드를 통해 유포 중인 모네로 코인 마이너 악성코드

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다.

일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다. 이렇게 웹하드를 유포 경로로 사용하는 공격자들은 주로 njRAT이나 UdpRAT, DDoS IRC Bot과 같은 RAT 유형의 악성코드를 설치한다.

최근 ASEC 분석팀에서는 웹하드를 통해 XMRig 즉 모네로 코인 마이너를 유포하는 사례가 확인되어 블로그에 소개하려고 한다. 악성코드가 유포된 경로를 확인한 결과 다음과 같이 특정 웹하드에서 게임 설치 파일로 위장하여 업로드된 압축 파일을 확인할 수 있었다.

[그림 1] 악성코드가 포함된 파일을 유포 중인 게시글 – 1
[그림 2] 악성코드가 포함된 파일을 유포 중인 게시글 – 2

실제 해당 게시글의 댓글을 보면 사용 중인 백신 프로그램(AntiVirus)에 의해 설치 과정에서 진단이 이루어짐에 따라 이미 내부에 악성코드가 포함되어 있다는 사실을 인지한 사용자들도 다수 존재한다.

[그림 3] 게시글의 사용자 댓글 – 1

물론 해당 파일들을 업로드한 사용자가 실제 악성코드 제작자인지는 확인할 수 없다. 이러한 게임 설치 프로그램들의 특성상 토렌트나 특정 웹하드에서 최초로 업로드되면 이후에는 다른 웹하드에서 동일하게 따라서 업로드할 수도 있기 때문이다.

[그림 4] 게시글의 사용자 댓글 – 2

다운로드한 압축 파일의 압축을 풀면 다음과 같은 폴더와 파일들을 확인할 수 있다. 이에 따라 사용자는 게임 아이콘을 위장한 “raksasi.exe” 프로그램을 실행할 것이다. 하지만 해당 파일은 XMRig 코인 마이너를 설치하는 악성코드이며 실제 게임 프로그램은 raksasi_Data 폴더 안의 Resources 폴더에 존재한다.

[그림 5] 압축 파일 구조

이 악성코드는 매우 간단한 구조를 갖는다. 먼저 “c:\Xcrcure\” 경로에 모네로 채굴 악성코드(xmrig.exe), XMRig 설정 파일(config.json), XMRig 런쳐 악성코드(MsDtsServer.exe)를 다운로드한다. 그리고 시작 폴더에 XMRig 런쳐 악성코드를 실행하는 바로가기를 “NewStartUp.lnk”라는 이름으로 생성하여 재부팅 후에 모네로가 동작하도록 한다. 마지막으로 Resource 폴더에 존재하는 원본 게임 프로그램을 실행하여 사용자가 정상적으로 게임이 동작하는 것처럼 보이도록 한다.

[그림 6] 모네로 마이너 설치 악성코드

이러한 과정을 통해 설치되는 XMRig는 이부 컴퓨터가 재부팅할 때마다 동일 경로에 존재하는 config.json 파일을 읽어 마이닝을 수행한다. 다음은 json 파일에 존재하는 마이닝 풀 주소 및 공격자의 지갑 주소이다.

[그림 7] XMRig 설정 파일

– 마이닝 풀 주소 : gulf.moneroocean[.]stream:10128
– 모네로 지갑 주소 : 438wFRXdmiEQfgfhK4XhSMSNaFNd8EdJzPhj5PcXtomEaKcNJuBoZaC32TSdGpnFUxRANRiQdsWxGdvM7bDgLJHZR9FKFSF

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운한 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– Trojan/Win.FY.C5155016 (2022.06.02.02)
– Trojan/Win64.XMR-Miner.R226842 (2019.12.11.01)
– CoinMiner/Text.Config (2022.08.01.02)
– Trojan/Win.Launcher.C5217400 (2022.08.01.02)

[IOC]
MD5

– 35370cd5222ade95f77c8db5e39bcd64 : 마이너 설치 악성코드
– d5d51ebb4ab6dc97d7e5557476526547 : 마이너 설치 악성코드
– c717c47941c150f867ce6a62ed0d2d35 : XMRig
– 2f4650b01f8943f577abad9869429d1a : config.json
– f3227fc9ecc270d49e4b24eedfbdfdf2 : XMRig Launcher

다운로드 주소
– hxxps://scmm.netlify[.]app/xmrig.exe
– hxxps://scmm.netlify[.]app/config.json
– hxxps://scmm.netlify[.]app/MsDtsServer.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments