Posted By ,

국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드

RecordBreaker Stealer는 크랙 및 시리얼 등의 불법 프로그램 다운로드로 위장하여 유포되는 대표적인 악성코드로, 작년 처음 등장하여 일반 사용자를 대상으로 활발하게 유포 중이다. Raccoon Stealer V2 라고도 불리며 웹 사이트, YouTube 등 다양한 채널을 통해 유포되고 있다.

동일 방식으로 활발히 유포되던 CryptBot이 올해 2월 이후로 완전히 자취를 감추고 이따금 Vidar 악성코드가 모습을 보이긴 하지만 대부분 RecordBreaker가 유포된다.

최근 유포된 샘플 중에서 악성코드의 버전 정보와 인증서를 국내 S/W 기업 제품으로 위장하고 있는 샘플이 발견되어 간략한 내용을 소개하고자 한다.

기존에도 여러 유명 소프트웨어의 버전 정보와 인증서를 도용하였으나, 국내 기업을 대상으로 한글로 된 버전 정보를 사용한 것은 이례적이다. 뿐만 아니라 공격자는 악성 코드를 정상 파일로 보이게 하기 위해 압축 파일 내부에 해당 기업에서 배포 중인 정상 라이브러리 파일을 다수 포함하였다.

유포는 4/27일 저녁부터 5/1일까지 유포된 샘플 중 해당 기업으로 위장한 샘플 6종이 발견되었으며, 사용된 버전 정보는 2개, 도용한 인증서는 1개이다. (*공격자가 상용 프로그램의 버전 정보와 인증서를 도용한 것으로, 악성코드 유포와 해당 기업과는 관련 없음)

그림1. 악성코드 버전 정보
그림2. 악성코드 인증서 정보

해당 샘플의 유포 및 감염 과정은 다음과 같다.

그림3. 악성코드 유포지 예시
그림4. 유포지로 부터 다운로드된 파일

사용자는 크랙이나 시리얼 등의 불법 인증 툴을 다운받으려다 유포지에 방문하고, “PassKey_55551-CompleteFileT1.rar” 파일을 유포지로부터 다운로드한다. 해당 압축 파일 내부에는 암호 압축 파일인 “FullSetup.rar”과 암호가 기재된 “Read.me.txt” 파일이 있다.

그림5. 압축 파일 내부
그림6. 텍스트 파일 내용

암호 압축 파일 내부에 악성코드가 존재하고 암호는 텍스트 파일이나 파일명에 기재되어 있다. 암호 압축을 해제하면 위장 대상 기업의 정상 파일들이 들어있는 폴더와 악성코드 실행파일이 생성된다.

그림7. 정상 파일이 존재하는 폴더와 악성코드 실행파일
그림8. 정상 파일들

최근 유포되는 샘플들은 모두 용량을 비정상적으로 키운 형태이다. 실제 악성코드 용량은 작지만 불필요한 데이터를 삽입하여 약 1.2GB 용량을 가진다. 이전에는 300MB 정도로 유포되었으나 유포되는 파일 용량이 점점 커지고 있다. 최근에는 2GB가 넘는 샘플도 수집되고 있다.

그림9. 악성코드 정보

악성코드가 실행되면 사용자 PC에 저장된 중요 정보가 수집되어 C2로 전송되며, C2의 응답에 따라 특정 주소에서 악성코드를 다운로드하여 설치할 수 있다.

해당 기간동안 ClipBanker 악성코드를 설치하도록 응답하였으며, 작업 스케줄러 등록으로 시스템에 상주하여 클립보드에 복사된 가상화폐 지갑 주소를 공격작의 지갑 주소로 변경한다.

다운로드 URL: hxxp://167.99.47[.]96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin
ClipBanker MD5: 51967006b0c9cab093abcd8d920d271f

그림10. ClipBanker 작업 스케줄러에 등록

공격자는 사용자를 속이기 위해 다양한 시도를 하고 있으므로 주의가 필요하다. ASEC(AhnLab Security Emergency response Center)에서는 본문의 방식으로 유포 중인 악성코드를 발생 즉시 자동 수집하여 실시간으로 분석 및 진단하고 있으며 관련 정보는 AhnLab TIP의 Live C&C 서비스에서 확인 가능하다.

그림11. Ahnlab TIP Live C&C

[IOC]

진단명
Infostealer/Win.RecordStealer.C5421253(2023.05.02.02)
Infostealer/Win.RecordStealer.R576180(2023.05.03.00)
Infostealer/Win.RecordStealer.C5421258(2023.05.02.02)
Trojan/Win.ClipBanker.R528972(2022.10.13.03)

MD5
-RecordBreaker Stealer
1c057fd80041bcacd09bb26ae5139570
2171d9ab9b1e6b377b498f028da895fb
2f73e418af5f3700358a8e0d7ce96718
72841262c11d15b3913684253ac34161
995459fea54ef72330251430f43e11ef
faf196f338a72d3e49eb898e3e2929a3

-ClipBanker
51967006b0c9cab093abcd8d920d271f

C2
hxxp://193.233.232[.]250
hxxp://212.113.106[.]9
hxxp://94.142.138[.]176
hxxp://94.142.138[.]175
hxxp://167.99.47[.]96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
Subscribe
Notify of
guest

1 댓글
Inline Feedbacks
View all comments
trackback
비정상적 인증서를 가진 정보탈취 악성코드 유포 중 - ASEC BLOG
2 months ago

[…] 국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드 […]

0
Reply