악성코드

게임핵을 통해 설치되는 XMRig 코인마이너

  • 1월 19 2024
게임핵을 통해 설치되는 XMRig 코인마이너

AhnLab SEcurity intelligence Center(ASEC)은 최근 게임핵을 통해 XMRig코인마이너가 유포되고 있는 정황을 확인하였다. 이와 같은 과정은 과거에 소개한 웹하드 플랫폼을 활용하여 XMRig 코인마이너를 유포하는 방식과 유사하다. [1] [2]

1. 유포 경로

코인마이너가 유포된 경로는 유명 게임들의 게임핵을 배포하는 사이트로 확인되었으며, 해당 사이트에는 다수의 유명 게임핵을 위장한 압축파일이 업로드 되어 있다. 또한, 브라우저와 백신에 의하여 다운로드가 차단되는 것을 방지하기 위하여 사이트에 브라우저의 다운로드 차단과 백신을 종료하는 방법을 페이지에 명시함으로써 악성코드 설치와 실행을 유도한다.

실제 게임 커뮤니티에서 해당 프로그램을 찾아보면 악성코드가 포함되어 있다는 사실을 인지한 프로그램을 사용자들의 댓글이 다수 존재한다.

2. 탐지 우회

업로드 된 압축 파일에는 코인마이너를 설치하는 다운로더와 백신을 종료하는 목적의 악성코드가 압축되어 있으며, 공격자는 사용 설명서를 통해 사용자로 하여금 직접 백신을 종료하게 만들어 더욱더 피해사실을 인지하기 어렵게 한다.

사용된 백신 종료 프로그램은 Windows Defender 관리 프로그램인 dControl.exe이며, 이를 통해 Windows Defender 비활성화를 유도하였다.

3. 다운로더를 통해 설치되는 코인마이너

코인마이너를 실행하기 위한 준비 과정이 완료되면, loader.exe를 통해 코인마이너를 다운로드한다. 초기 다운로더는 오토핫키로 제작된 프로그램으로 ‘%temp%’ 폴더 경로에 코인마이너를 설치 및 실행한다.

실행된 코인마이너는 파워쉘을 통해 ‘ProgramData’ 경로에 .exe 확장자를 Windows Defender가 스캔하지 못하도록 하고, Windows MSRT(악성 소프트웨어 제거 도구)의 업데이트를 비롯하여 Windows 업데이트와 관련된 서비스 등을 제거한다. 또한, hosts 파일을 수정하여 탐지를 우회하기 위한 시도를 수행한다.

이와 동시에 %ProgramData%\Google\Chrome 경로에 updater.exe 파일명으로 자가 복제하고 GoogleUpdateFile의 서비스명으로 등록하여 지속성을 유지한다.

  • Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension ‘.exe’ -Force
  • cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart
  • sc.exe stop UsoSvc
  • sc.exe stop WaaSMedicSvc
  • sc.exe stop wuauserv
  • sc.exe stop bits
  • sc.exe stop dosvc
  • sc.exe create “GoogleUpdateFile” binpath=”C:\ProgramData\Google\Chrome\Updater.exe” start=”auto”
  • id : zajpavgygytczlbw
  • wallet : 4824qBU4jPi1LKMjUrkC6qLyWJmnrFRqXU42yZ3tUT67iYgrFTsXbMmiupfC2EXTqDCjHrjtUR8oHVEsdSF2DErrCipV55Z
  • Mining pool : xmr.2miners[.]com:12222
  • cinit-stealth-targets : Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe

4. 결론

이와같이 게임이나 게임핵을 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 게임핵의 경우, 실행을 위해 loader.exe와 같은 다운로더를 사용자가 주기적으로 실행시켜야 한다는 특징이 있어 글에 소개된 코인마이너 이외에도 다른 악성코드에 의한 피해가 발생될 가능성이 존재한다. 출처가 불분명한 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 해당 유형의 악성코드는 다음과 같이 안랩에서 진단 중이다.

[파일진단]
Downloader/Win.Agent.C5574989 (2024.01.16.03)
CoinMiner/Win.Agent.C5574932 (2024.01.16.02)
HackTool/Win.DefenderControl.R443408 (2021.10.07.03)

[행위진단]
Execution/MDP.Cmd.M4789

MD5

58008524a6473bdf86c1040a9a9e39c3
7698fe6bd502a5824ca65b6b40cf6d65
db98d8d6c08965e586103b307f4392fb
SHA2

66ae5a48329d7c237b8bd6d0506d4feb9c1e14281e918d8f2057bd0694a06ad2
URL

https[:]//cdn[.]discordapp[.]com/attachments/1195976176963948674/1195992986664829008/dupdate[.]exe?ex=65b60244&is=65a38d44&hm=66ae5a48329d7c237b8bd6d0506d4feb9c1e14281e918d8f2057bd0694a06ad2

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post