작년부터 악성코드 유포에 ISO 나 VHD 와 같은 디스크 이미지 파일을 이용하는 사례가 꾸준하게 증가하고 있으며, ASEC 블로그를 통해 여러 차례 소개해왔다. 이번에는 VHD 파일을 이용한 ChromeLoader 의 유포 정황을 포착하여 소개하고자 한다. 해당 유형의 VHD 파일은 주로 닌텐도와 스팀 게임의 핵 및 크랙과 관련된 파일명으로 유포되고 있다. 유포 파일명 중 일부는 아래와 같으며, 유료 소프트웨어 크랙 관련 파일명도 존재한다.
- 유포 파일명 (관련 게임명)
ELDEN RING Free Download (v1_08_1).vhd (엘든링)
Dark Souls 3 [FitGirl Repack]_part1_rar.vhd (다크소울3)
Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd (레드데드리뎀션2)
File_ Need for Speed Carbon Collectors Edition____.vhd (니드포스피드)
File_ Call of Duty Deluxe Edition_zip ___.vhd (콜오브듀티)
File_ Portal_2_v2023_01_17_zip ___.vhd (포탈2)
File_ Minecraft – Story Mode_Complete Season_zi___.vhd (마인크래프트)
[NEW] ROBLOX _ Doors Script _ Hack _ Spawn Enti___.vhd (로블록스)
The Legend of Zelda_ Breath of the Wild SWITCH ___.vhd (젤다의전설)
Pokemon Ultra Moon_ Update 1_2 [Decrypted] 3DS ___ (1).vhd (포켓몬)
Animal-Crossing-New-Horizons-Switch-NSPNSZXCI-U___.vhd (동물의숲)
Mario Kart 8 Deluxe (NSP)(Booster Course DLC)(W___ (2).vhd (마리오카트)
Super Mario Odyssey Switch NSP+ Update Free Dow___.vhd (슈퍼마리오오디세이)
Microsoft Office 2010 Free Download.vhd
Adobe Photoshop 2023 Free Download.vhd
관련 파일명으로 Google 검색 결과, 게임 핵 및 크랙 프로그램 등 불법 프로그램을 유포하는 사이트가 최상위에 다수 노출되는 것을 확인 할 수 있다. 해당 사이트들에서 불법 프로그램을 다운로드 시도할 시, 악성 광고 사이트가 다수 생성된다. 이때 특정 광고 사이트에서 VHD 파일을 다운로드 받는 것으로 추정되며, 현재는 정상 프로그램(7zip installer)이 다운로드된다.
만약 해당 과정을 통해 VHD 파일을 다운로드 받은 경우, 사용자는 악성 VHD 파일을 게임 관련 프로그램으로 착각하기 쉽다. 악성 VHD 내부 파일은 아래와 같으며, Install.lnk 파일 외에는 모두 숨김 속성이 부여되어 있어 일반적인 사용자에게는 Install.lnk 파일만 보이게 된다.
Install.lnk 는 properties.bat 파일을 실행하며, properties.bat 은 tar 명령어를 통해 files.zip 파일을 “%AppData%” 경로에 압축 해제한다. files.zip 파일은 node-webkit(nw.js) 관련 정상 파일들과 악성 js 파일이 포함되어 있다. node-webkit 이란, Chromium 과 Node 를 활용한 웹 어플리케이션으로 nw.exe 를 통해 실행할 수 있으며 package.json 파일에 명시된 정보를 참조한다. 해당 특징을 이용하여 node-webkit 이 이후 과정에서 이용된다.
이후 properties.bat 은 data.ini 파일과 압축 해제 후 생성된 videos.exe 파일을 실행한다. 먼저, data.ini 는 VBScript 명령어로 “%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\” 경로에 videos.exe 를 실행하는 바로가기를 생성한다.
videos.exe 파일은 nw.exe 가 내장된 형태로 package.json 파일을 참조하여 main 속성에 지정된 스크립트가 동작하게 된다. main 속성에 지정된 스크립트는 start.html 파일이며 난독화된 형태의 악성 JS 를 포함하고 있다.
최종적으로, videos.exe 파일은 start.html 에 존재하는 악성 JS 를 실행하게 되며 아래 주소에 접속하여 ChromeLoader 다운로드를 시도한다. 현재는 접속이 불가능하며 ChromeLoader 는 Chrome 확장 프로그램을 통해 악성 행위를 수행하는 애드웨어 유형의 악성코드이다. ChromeLoader 에 의해 생성 및 실행되는 악성 확장 프로그램은 하이재킹을 통해 광고 사이트로 리다이렉션 및 사용자 검색 데이터 수집을 수행하며 브라우저 자격 증명 수집, 브라우저 설정 수정 등의 다양한 기능을 수행할 수 있다.
- irymountain.com[.]ua
- lesexwrecko[.]xyz
- alnormatic[.]xyz
최근 디스크 이미지 파일을 이용한 악성코드가 증가하고 있으며, 게임 핵 및 크랙 프로그램을 위장한 악성코드 형태는 다수의 공격자가 사용하는 방식이다. 사용자는 알려지지 않은 경로에서 다운로드한 파일을 실행할 때 각별한 주의가 필요하며 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/BAT.Runner.S2119 (2023.02.13.03)
Trojan/VBS.Runner.S2120 (2023.02.13.03)
Dropper/VHD.Agent (2023.02.16.00)
Trojan/HTML.Obfus (2023.02.16.00)
[IOC]
bdcb5c80a664d82a28469f9fce0fbb12
ae8ae62aa04f06d32c548c2ef493a39f
82024e7af52481e71760c9d119eb903f
3515115d7efa1ac42bd56bc9348cd4f8
irymountain.com[.]ua
lesexwrecko[.]xyz
alnormatic[.]xyz
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보