웹하드를 통해 유포 중인 Remcos Rat 악성코드

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Remcos Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다.

일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.

• 웹하드를 통해 유포 중인 UDP Rat 악성코드
• 웹하드와 토렌트를 통해 유포 중인 njRAT
• 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드
• 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어

[그림 1]과 같이 다수의 게임들에 공통적인 방법으로 악성코드를 유포 중이며, 게시글 아래 항목에는 Game.exe를 실행시키라는 가이드가 함께 존재한다.

 

압축을 해제할 경우 Game.exe가 존재하며, 정상적인 게임 런처 처럼 보이지만 실제로는 게임을 실행시키는 dll은 따로 존재하며 악성 vbs 스크립트들을 같이 실행하게 된다.

[그림 5]와 같이 www\js\plugins 폴더에 악성 vbs를 포함한 악성코드들이 존재한다. 최종적으로 실행되게 되는 것은 ffmpeg.exe 악성코드이며, 실행 되었을 때의 악성코드 감염 흐름은 [그림 6]과 같다.

 

ffmpeg.exe를 실행하면 test.jpg에서 “sexyz” 문자열을 Split하여 암호화된 바이너리와 Key 값을 가져온 후 explorer.exe에 인젝션한다.

 

인젝션된 악성코드는 [그림 9]의 C&C 서버를 통해 Remcos Rat를 다운로드 받은 후 ServiceModelReg.exe에 인젝션하여 추가 행위를 시도한다.

 

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

 

[파일 진단]
Trojan/Win.Injector.R630725 (2024.01.08.02)
Trojan/Win.Injector.R630726 (2024.01.08.02)
Trojan/VBS.Runner.SC195782 (2024.01.08.02)
Trojan/VBS.Runner.SC195783 (2024.01.08.02)
Trojan/BAT.Agent.SC195781 (2024.01.08.02)
Trojan/BAT.Agent.SC195785 (2024.01.08.02)
Trojan/VBS.Runner.SC195786 (2024.01.08.02)
Trojan/VBS.Runner.SC195787 (2024.01.08.02)
Trojan/VBS.Runner.SC195784 (2024.01.08.02)

MD5

00bfd32843a34abf0b2fb26a395ed2a4

2e6796377e20a6ef4b5e85a4ebbe614d

2f6768c1e17e63f67e173838348dee58

36aa180dc652faf6da2d68ec4dac8ddf

4d04070dee9b27afc174016b3648b06c

URL

http[:]//kyochonchlcken[.]com/share/1[.]exe

http[:]//kyochonchlcken[.]com/share/BankG[.]r6map

http[:]//kyochonchlcken[.]com/share/Favela[.]r6map