악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개

한동안 유포가 중단되었던 크랙 위장 드로퍼 악성코드가 다시 활발하게 유포되고 있다. 해당 악성코드를 실행할 경우 동시에 수많은 악성코드에 감염된다. 악성코드 “폭탄”인 셈이다.

상용 프로그램의 크랙으로 위장한 악성코드 유포는 “단일 악성코드” 유형과 “드로퍼형 악성코드” 유형으로 양분되어 활발하게 유포되었다. ASEC 분석팀에서는 이러한 악성코드 유포를 상세히 모니터링 중이며 블로그 포스팅을 통해 여러 번 소개한 바 있다.

악성코드는 검색엔진에서 상위에 노출되는 악성 사이트로 부터 유포된다. 공격자는 다양한 키워드를 활용하여 크랙 다운로드 사이트로 위장한 수많은 악성 사이트를 제작하였으며 해당 페이지에서 Download 버튼 등을 클릭 시 악성코드 유포 페이지로 이동한다. 주기적으로 외형적 변화가 발생하지만 암호 압축된 파일을 다운로드하는 점은 항상 같다.

지난 6월 말 경 위와 같은 유포 과정에서 드로퍼형 악성코드가 자취를 감추고 용량을 비정상적으로 늘린 단일 악성코드 유포가 주를 이뤘다. CryptBot, Vidar Stealer, Raccoon Stealer(RecordBreakerStealer)가 주로 유포되었으며 주당 100개가량의 새로운 해시의 악성코드 샘플이 발생하였다. 기존에 보고되지 않은 신종 악성코드가 처음 유포되기 시작한 사례도 있다.

그동안 드로퍼형 악성코드는 유포 페이지로부터 직접 유포되지는 않았지만 타 악성코드로부터 다운로드되어 실행되는 케이스로 간간히 모습을 보였다. 하지만 최근에는 예전과 같이 크랙 다운로드를 위장한 유포 페이지를 활용하여 활발하게 유포 중이다.

유포 페이지로부터 다운로드한 ZIP 파일을 압축 해제 시 “install_setup.exe”(NSIS) 파일이 생성되며, 이 파일을 실행할 경우 TEMP 경로에 “setup_installer.exe” 이름의 7z SFX 파일을 생성 후 실행한다. 이 내부에는 10~15개의 악성코드와 이를 실행하기 위한 로더가 존재한다. 결과적으로 내부의 모든 악성코드 파일이 생성되고 차례로 실행된다. 이처럼 타 악성코드와는 다르게 동시에 수많은 악성코드에 감염되므로 각별히 주의해야 한다.

실행 방식이나 내부에 존재하는 악성코드의 종류에는 큰 변화는 없지만, 유포 재개 초기에는 내부 악성코드가 두 개뿐이거나, 동일한 해시의 악성코드 샘플이 몇 개씩 중복되어 포함된 특이한 샘플이 다수 발생하였다. 이는 그간 유포 전례로 미루어 보아 공격자의 실수거나 유포 테스트 목적의 샘플로 추정된다.

V3 제품군에서는 파일 진단을 통해 내부에 존재하는 악성코드 감염을 사전 차단하지만, 제품 탐지 로그상으로는 실시간 감시를 끄거나 악성코드를 예외 처리 후 실행하는 케이스가 많은 것으로 보이기에 사용자의 주의가 필요하다.

자사에서는 본문의 악성코드를 다음 진단으로 차단 중이다.

  • Trojan/Win.Muldrop.R487182 (2022.06.12.01)

[IOC 정보]

7769efb6d572c0ae6e542ecd7cbc4ee4
8a718060c076e93578ca8fb516991fdb
c90fef418b5cc33bf216ea01897d4ad2
d622d818487ce01a3c1b727a5328e80c
fec3a3324d0bcdbef841072b91ae0eb4

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments