Autoit을 사용한 Zephyr 코인 마이너 악성코드 유포

AhnLab SEcurity intelligence Center(ASEC) 은 최근 Zephyr 코인 마이너가 유포되는 것을 확인했다. 해당 파일은 Autoit으로 제작되어있으며, 코인마이너가 포함된 압축파일 형태로 유포되고 있다.

유포되는 파일은 “WINDOWS_PY_M3U_EXPLOIT_2024.7z” 이름으로 유포되고 있으며, 압축 해제 시 여러 스크립트와 실행파일이 생성된다. 그 중 “ComboIptvExploit.exe” 파일은 NSIS(Nullsoft Scriptable Install System) 설치파일이며 내부에는 두 개의 자바스크립트 파일이 존재한다.

해당 파일을 실행하면 %temp% 경로에 “Explorer.js” , “internet.js” 파일을 생성하고, 두 자바스크립트 파일은 wscript.exe를 통해 실행된다.

두 자바스크립트 파일 중 “internet.js” 파일은 내부에 BASE64 인코딩된 문자열을 디코딩하여 실행파일을 생성한다. 이 실행파일은 %temp% 경로에 “x.exe” 이름으로 생성되며, Autoit으로 작성된 프로그램이다.

컴파일된 Autoit 스크립트 파일에는 압축 파일인 “asacpiex.dll” , 정상 “7za.exe” 인 “CL_Debug_Log.txt” 두 파일이 포함되어 있다. “JDQJndnqwdnqw2139dn21n3b312idDQDB” 를 패스워드로 전달 후 압축을 해제하여 컴파일된 Autoit 스크립트 파일인 “64.exe” . “32.exe” 두 파일을 %temp% 경로에 생성한다. 시스템의 CPU 아키텍처가 x86인 경우 “32.exe”를, x64인 경우 “64.exe”를 “%USER%\AppData\Roaming\Microsoft\Windows\Helper.exe” 로 복사한다.

CL_Debug_Log.txt e -p"JDQJndnqwdnqw2139dn21n3b312idDQDB" &"&@TEMPDIR&\CR_Debug_Log.txt&"& -o&"&@TEMPDIR&\

복사된 Helper.exe 는 Zephyr 암호화폐를 채굴하는 코인 마이너이며, 추출한 스크립트에서 사용된 마이닝 풀과 지갑 주소 모두 확인할 수 있다. 마이닝 풀에 접속해 해당 지갑을 조회 시 최근에 출금한 이력을 확인할 수 있었다.

 GLOBAL $CRYPT= -a rx/0
 GLOBAL $STRAT_=ssl
 GLOBAL $POOL=zeph.kryptex.network:8888
 GLOBAL $WALLET=ZEPHsAgR4UTMCufABEmp7CDehfzontt85VKaQogms5zVc9iwV896o9ZR2XcbuCzwaSGYDmMUTjPJUVoLUE9a5feJKRgjtsvAndw/IPTV

악성코드 전체 실행 흐름은 아래 도식도와 같다.

사용자들은 출처가 명확하지 않는 파일 다운로드 및 실행 시 주의가 필요하며 사용하고 있는 백신을 최신 버전으로 업데이트해야 한다.

V3에서는 아래와 같이 진단하고 있으며, IOC는 다음과 같다.

[파일 진단]

• CoinMiner/Win.Agent.R631683 (2024.01.18.00)
• Trojan/Win.Wacatac.C5571541 (2024.01.08.00)
• CoinMiner/Win.Zephyr.C5575600 (2024.01.17.03)

[행위 진단]

• Malware/MDP.Inject.M2907

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.