RecordBreaker는 2022년 새롭게 등장한 인포스틸러 악성코드로서 Raccoon 스틸러의 새로운 버전이라고도 알려져 있다. CryptBot, RedLine, Vidar와 같은 다른 인포스틸러 악성코드들처럼 주로 S/W 크랙 및 인스톨러로 위장하여 유포되는 대표적인 악성코드이다. ASEC(AhnLab Security Emergency response Center)에서는 최근 해킹된 것으로 추정된 유튜브 계정을 통해 RecordBreaker가 유포되고 있는 것을 확인하였다.
1. 과거 유포 사례
검색 엔진은 악성코드 유포에 사용되는 대표적인 공격 벡터 중 하나이다. ASEC에서는 과거 다음 블로그에서 검색 엔진을 통해 유포되고 있는 RecordBreaker 유포 사례를 공개한 바 있다.
검색 엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색한 사용자들은 실제로는 악성코드가 다운로드되는 위장 유포 페이지로 접속하여 악성코드를 다운로드하였다.
최근에는 검색 엔진 외에도 유튜브를 통해 악성코드를 유포하는 사례가 자주 확인된다. 예를 들어 과거 RedLine 인포스틸러를 유포했던 공격자는 크랙 프로그램 설치 방법을 알려주는 영상과 함께 크랙을 위장한 다운로드하는 링크를 함께 업로드하였다. [1] 이외에도 발로란트 게임 핵을 위장하면서 실제로는 BlackGuard 인포스틸러 악성코드를 유포한 사례도 존재한다. [2] [3]
2. 유튜브를 통한 RecordBreaker 유포 사례
ASEC에서는 유튜브를 통해 유포 중인 악성코드들을 모니터링하던 중 해킹된 것으로 추정된 유튜브 계정을 통해 RecordBreaker 인포스틸러가 유포되고 있는 것을 확인하였다. 다음은 공격자가 업로드한 게시물이며, 영상 설명과 댓글에 Adobe Photoshop 크랙을 다운로드할 수 있는 링크와 가이드를 적었다.
유튜브를 통해 유포되는 방식은 자주 사용되고 있지만, 대부분의 공격자들은 새로운 계정을 생성하여 악성코드 링크를 업로드하고 있다. 하지만 현재 해당 계정은 12만 명 이상의 구독자를 가지고 있다. 또한 악성코드 유포 동영상을 업로드하기 며칠 전까지 정상적으로 활동하고 있는 유튜버인 것을 보아 공격자는 해당 유튜버의 계정을 탈취한 이후 악성코드 업로드에 사용한 것으로 추정된다.
유튜브의 링크를 클릭하면 MediaFire의 다운로드 페이지가 확인되며, 사용자들은 해당 페이지에서 악성코드가 포함된 압축 파일을 다운로드할 수 있다. 다운로드된 압축 파일은 기존과 유사하게 비밀번호로 암호화되어 있다.
3. RecordBreaker 분석
압축 파일의 압축을 해제하면 기존 유포 사례처럼 700MB가 넘는 사이즈의 실행 파일 “Launcher_S0FT-2O23.exe”가 보인다. 해당 파일은 공격자가 의도적으로 대용량의 패딩 영역을 추가하여 파일의 용량을 키운 형태이다. 이는 보안 제품을 이용한 수집 및 탐지를 우회하기 위한 것으로 추정된다.
“Launcher_S0FT-2O23.exe”는 RecordBreaker 인포스틸러 악성코드로서 실행 시 C&C 서버에 접속하여 설정 데이터와 정보 탈취에 필요한 DLL 파일들을 다운로드한다.
RecordBreaker가 실행되면 “machineId”를 구하고 악성코드에 하드코딩된 값인 “configId”를 C&C 서버에 전달하며, 이후 C&C 서버로부터 다음과 같은 설정 데이터를 전달받는다. 전달받는 데이터로는 정보 탈취에 필요한 DLL들을 다운로드할 주소들과 탈취할 파일들의 경로가 존재한다.
RecordBreaker는 시스템 기본 정보 및 설치 프로그램 목록, 스크린샷, 브라우저에 저장된 계정 정보 등 시스템에 저장된 다양한 정보들을 수집해 탈취하며, 마지막으로 추가 페이로드를 다운로드해 설치할 수 있다. 다음 Fiddler 로그를 보면 깃허브에 업로드되어 있는 2개의 추가 페이로드를 다운로드해 실행하는 것을 확인할 수 있다.
다운로드된 파일들 중 “GUI_MODERNISTA.exe”는 다양한 크랙 파일들을 다운로드하는 기능을 제공하는 프로그램으로서 사용자가 정상적으로 크랙 프로그램을 다운로드한 것으로 인지시켜 악성코드가 설치되었는지를 확인하기 어렵게 한다.
또 다른 파일인 “vdcs.exe”는 코인 마이너 악성코드로서 공격자는 감염 시스템에 대한 정보를 수집한 이후에는 코인 마이너를 설치해 감염 시스템의 자원으로 암호 화폐를 채굴한다.
4. 결론
최근 유튜브를 통해 RecordBreaker를 유포하는 사례가 확인되었다. RecordBreaker는 감염 시스템에 저장되어 있는 다양한 사용자 정보들을 수집해 탈취하는 인포스틸러 악성코드로서 이외에도 추가적인 악성코드를 다운로드해 설치할 수 있다.
RecordBreaker는 구독자 수가 10만 명이 넘는 계정을 통해 유포되었으며, 과거 정상적으로 활동했던 것으로 추정했을 때 해당 계정은 공격자에 의해 해킹된 것으로 추정된다. 공격자는 RecordBreaker를 통해 감염 시스템의 정보를 수집하였으며, 정보 탈취 이후에는 코인 마이너를 추가적으로 설치하여 암호 화폐를 채굴하고 있다.
이렇게 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드하는 행위를 지양해야 하며, 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
ASEC에서는 AhnLab TIP 서비스의 Live C&C 정보를 통해 매주 유포량이 많은 악성코드를 선별하여 자동 분석 시스템을 통해 확인된 C&C 정보를 제공한다. C&C로 추정되는 URL 및 IP 정보를 활용하여 악성코드 분석 및 대응에 활용할 수 있다.
파일 진단
– Infostealer/Win.RecordStealer.C5410598 (2023.04.13.02)
– Trojan/Win.Generic.C5403811 (2023.04.01.03)
– Trojan/Win.MSILKrypt.C5418981 (2023.04.27.03)
IOC
MD5
– 1cc87e637e55a2e6a88c745855423045 – RecordBreaker (Launcher_S0FT-2O23.exe)
– 116857ca1574a5a36da3bb0ddff32eac – 크랙 다운로더 (GUI_MODERNISTA.exe)
– 803a1f3e984a9eaa56ac74a203096959 – 코인 마이너 (vdsds.exe)
다운로드 주소
– hxxps://www.mediafire[.]com/file/0u0tldiluood47v/2O23-F1LES-S0ft.rar – 압축 파일
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/nss3.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/vcruntime140.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/mozglue.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/freebl3.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/softokn3.dll – 정보 수집에 사용되는 정상 DLL
– hxxp://212.113.119[.]153/aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/sqlite3.dll – 정보 수집에 사용되는 정상 DLL
– hxxps://github[.]com/jesus061031r/mooliik/releases/download/mooliik/vdsds.exe – 코인 마이너
– hxxps://github[.]com/jesus061031r/mooliik/releases/download/mooliik/GUI_MODERNISTA.exe – 크랙 다운로더
C&C 주소
– hxxp://212.113.119[.]153/ – RecordBreaker
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 해킹된 유튜브 계정으로 유포 중인 RecordBreaker 스틸러 […]