스팸 메일로 유포 중인 DarkCloud 인포스틸러

ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다.


1. 유포 방식

공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다.

Figure 1. 악성코드가 첨부된 공격자의 메일

해당 메일은 회사 계정으로 지불된 첨부된 지불 사본을 확인하도록 유도하는 내용이며, 첨부 파일의 압축을 해제하면 PDF 아이콘을 위장하고 있기 때문에 일반적인 사용자의 경우 이러한 메일을 받았을 때 문서 파일로 생각하고 악성코드를 실행할 수 있다.

Figure 2. 압축 파일 및 압축 해제된 악성코드

메일에 첨부된 파일은 드로퍼 악성코드로서 DarkCloud와 ClipBanker를 생성하고 실행하는 역할을 담당한다. 즉 사용자가 해당 메일의 첨부 파일을 다운로드하고 압축 해제 후 실행할 경우에는 감염 시스템에 존재하는 사용자의 다양한 계정 정보가 탈취당할 수 있으며, 암호 화폐 지갑 주소를 복사하여 클립보드에 저장할 경우 강제로 공격자의 주소로 변경되어 거래 시에 공격자의 지갑 주소로 전송할 위험이 존재한다.


2. 악성코드 첨부 파일

메일에 첨부된 실행 파일은 드로퍼 악성코드로서 먼저 %APPDATA%\Zwldpcobpfq\Gdktpnpm.exe 경로에 자신을 복사하고 Run 키에 등록하여 재부팅 이후에도 동작할 수 있도록 하였다. 이후 %TEMP% 경로에 2개의 악성코드를 각각 생성하고 실행한다.

2.1. ClipBanker

가장 먼저 생성 및 실행되는 악성코드 “Lilgghom.exe”는 ClipBanker이다. ClipBanker는 감염 시스템에서 상주하면서 사용자가 비트코인 또는 이더리움 암호화폐의 지갑 주소를 복사할 경우 공격자의 지갑 주소로 변경한다. 일반적으로 코인 지갑 주소의 경우 일정한 형식을 갖추고 있지만 길고 랜덤한 문자열임에 따라 외우기 어렵기 때문에 사용자들은 주소를 사용할 때 복사 및 붙여넣기 하는 방식을 이용할 것이다. 하지만 이 과정에서 지갑 주소가 변경된다면 사용자가 특정 지갑으로 입금하려고 할 때 그 주소가 공격자의 지갑 주소로 변경되어 다른 지갑으로 입금될 수 있다.

공격에 사용된 ClipBanker는 “Get Cliboard Address.exe”라는 이름으로 제작되었으며, 클립보드를 모니터링하고 있다가 다음과 같은 정규 표현식에 매칭될 경우 공격자가 지정한 지갑 주소로 변경한다.

  • 비트코인 : “(?<!\w)[a-zA-Z0-9]{34}(?!\w)”
  • 이더리움 : “(?<!\w)0x[a-zA-Z0-9]{40}(?!\w)”
  • 모네로 : “(?<!\w)[a-zA-Z0-9]{95}(?!\w)”

참고로 “Get Cliboard Address.exe”는 설정에 따라 다양한 기능을 지원한다.

설정설명데이터
B변경할 비트코인 지갑 주소bc1q462me7gxcwh0xgsja7x808a9zgr6vjmx7rt9km
E변경할 이더리움 지갑 주소0x006Cb3C0469040e84f2D12a8aec59c34CE00aa31
X변경할 모네로 지갑 주소N/A
Startup시작 폴더에 복사True
REGRun 키 등록False
SHORTCUT시작 폴더에 바로가기 생성False
Table 1. ClipBanker가 제공하는 설정
Figure 3. ClipBanker의 설정 데이터


2.2. DarkCloud

다음으로 생성 및 실행되는 악성코드 “Ckpomlg.exe”는 인포스틸러로서 감염 시스템에 저장되어 있는 다양한 사용자 정보들을 수집하고 탈취하는 기능을 담당한다. 해당 악성코드는 최근 유포되고 있는 악성코드들과 달리 VB6 언어로 개발된 것이 특징이다.

DarkCloud는 일반적인 인포스틸러 악성코드들처럼 웹 브라우저 및 FTP, 이메일 클라이언트에 저장되어 있는 사용자 계정 정보를 탈취한다. 또한 수집한 정보를 C&C 서버에 전송할 때 SMTP나 Telegram API와 같은 방식을 사용한다는 점에서도 AgentTesla, SnakeKeylogger 같은 다른 인포스틸러와 유사하다.

참고로 현재 블로그에서 분석하고 있는 DarkCloud는 공격자의 SMTP 계정 정보가 변경되어 로그인이 불가하다. 하지만 과거 동일한 이메일 계정을 사용한 AgentTesla 악성코드들이 함께 확인되는 것으로 보아 공격자는 DarkCloud 외에 AgentTesla 인포스틸러도 스팸 메일 공격 캠페인에 사용한 것으로 추정된다.

  • Host : logxtai[.]shop
  • User : sender-a3@logxtai[.]shop
  • Password : f9;2H%A)IpgE
  • Receiver : ambulancelog@logxtai[.]shop
Figure 4. 현재 계정 정보가 변경되어 SMTP 인증에 실패

DarkCloud는 계정 정보 수집을 위해 필요한 “vbsqlite3.dll”을 리소스 섹션에 가지고 있으며, 실행 중 “%PUBLIC%\Libraries” 경로에 생성하여 로드한다.

Figure 5. 리소스 섹션에 저장되어 있는 라이브러리 파일

정보 탈취 대상으로는 크로미움, 파이어폭스 기반 웹 브라우저들과 아웃룩 및 ThunderBird, FoxMail과 같은 이메일 클라이언트 그리고 CoreFTP, WinSCP와 같은 FTP 클라이언트 프로그램에 저장되어 있는 계정 정보가 있다. 물론 이외에도 웹 브라우저에 저장되어 있는 신용카드 정보 등 다양한 사용자 정보들이 탈취될 수 있다.

Figure 6. 크롬 웹 브라우저에 저장되어 있는 신용카드 정보를 탈취하는 루틴

탈취한 정보들은 “%PUBLIC%\Libraries” 경로에 생성한 폴더에 저장되는데, 다음과 같이 탈취한 정보에 시그니처 문자열인 “DARKCLOUD”를 확인할 수 있다.

Figure 7. 탈취한 정보가 저장되는 폴더

현재 분석 대상 DarkCloud는 수집한 정보를 탈취할 때 SMTP 프로토콜 외에도 텔레그램 API를 함께 이용하는 것이 특징이다.

Figure 8. 텔레그램 API를 이용한 정보 탈취


3. 결론

사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Trojan/Win.Generic.C5416010 (2023.04.21.01)
– Trojan/Win.Generic.R578585 (2023.05.16.02)
– Malware/Win32.RL_Generic.C4250411 (2020.12.04.01)

행위 진단
– Infostealer/MDP.Behavior.M1965

IOC
MD5

– 991a8bd00693269536d91b4797b7b42b : 드로퍼 (Booking_3798637712pdf.exe)
– 7c4f98ca98139d4519dc1975069b1e9f : DarkCloud (Ckpomlg.exe)
– 9441cdbed94f0fd5b20999d8e2424ce4 : ClipBanker (Lilgghom.exe)

C&C 주소
– hxxps://api.telegram[.]org/bot5520455072:AAHt-MFGFCUL3S_w3BTtc7meWUZSJFJduq0/sendMessage

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments