설치파일 위장 정보탈취 악성코드 주의

설치파일(Installer)로 위장한 StealC 악성코드가 대량 유포 중이다.

Discord, GitHub, Dropbox 등에서 다운로드 되는 것으로 확인되며, 그간 비슷한 방식의 유포 사례로 보아 특정 프로그램 다운로드 페이지로 위장한 악성 페이지에서 여러 리디렉션을 거쳐 다운로드 URL로 연결될 것으로 추정된다.

StealC 악성코드는 정보탈취형 악성코드로, 시스템 정보, 브라우저, 가상화폐 지갑, 디스코드, 텔레그램, 메일 클라이언트 등 다양한 중요 정보를 탈취한다.

사용된 악성코드나 동작 기법 등은 기존 크랙으로 위장하여 유포되는 악성코드와 유사하나 유포지는 다른 것으로 확인된다. 크랙 위장 악성코드 유포 과정은 본 블로그를 통해 여러 차례 소개하였으며 아래 링크를 참고하면 된다.

• 정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking)
• S/W 다운로드 위장, 다양한 종류의 악성코드 유포

이번 유포는 이례적으로 짧은 시간 동안 매우 많은 사용자가 해당 파일을 다운로드했다. 국내에서도 유명한 프로그램으로 위장했을 가능성이 크다.

다음 두 종류의 샘플이 유포 수량이 가장 많으며, 현재까지도 유포 중이다. 각각 “setup_2024.008.20534_win64_86.exe”, “Setup_21.4_win64_86” 파일명을 가진다. 파일명을 변경할 경우 악성 행위가 발현되지 않으며 이는 샌드박스 등의 분석 환경을 우회하기 위한 의도이다.

악성코드 실행 시 이미지 호스팅 사이트에서 PNG 파일을 다운로드한다. 이 PNG 파일은 이미지 데이터 중간 부분에 인코딩된 악성 데이터가 삽입된 구조이다. 악성코드 샘플별 3개씩 서로 다른 사이트 주소를 가지고 있으며, 각 사이트에서 다운로드되는 파일은 동일했다.

PNG 파일 내부 데이터를 디코딩 할 경우 악성 행위에 필요한 쉘 코드 및 파일 바이너리가 생성된다. 이 쉘 코드가 실행되면 파일 생성, 실행, 여러 인젝션 과정을 거쳐 최종적으로 StealC 정보탈취 악성코드가 실행된다.

이 과정에서 SysWOW64 하위 정상 프로세스(netsh.exe, more.com), Temp 경로에 생성된 정상 오토잇 프로세스(WinAPIHObj.au3, DllCall.au3)가 실행되며, StealC 악성코드는 오토잇 프로세스에 인젝션되어 실행된다. 실행 프로세스 트리는 다음과 같다.

인젝션 시 ntdll 수동 매핑 기법과 Heaven’s Gate 기법을 사용한다. 전자는 ntdll.dll을 수동으로 로드하여 내부 함수를 실행하는 방식이며, 후자는 Wow64 프로세스에서 x64 명령어를 실행하는 기법으로 두 기법 모두 보안 제품 우회 및 분석 방해를 위한 기법이다.

이러한 행위적 특징은 몇 주 전 발생한 크랙 위장 유포 악성코드와 동일하다. 당시 유포된 샘플은 Vidar 정보탈취 악성코드로, 본 샘플과 마찬가지로 인스톨러를 위장하였으며, 파일명 체크, PNG 파일 다운로드, 정상 프로세스 생성 및 인젝션, ntdll 수동 매핑 기법과 Heaven’s Gate 기법을 사용한다. PNG 파일 다운로드에 활용된 이미지 호스팅 사이트도 동일하다.

당시에는 Windows 11에 기본으로 포함된, 해당 OS 환경에서만 실행이 가능한 정상 파일 (imewdbld.exe) 을 생성 후 인젝션하였다. 따라서 Win11 환경만 공격 대상이었지만 최근 유포 StealC 샘플은 이전 버전의 OS 환경에서도 정상 동작한다.

Vidar 악성코드 또한 정보 탈취형 악성코드로 Steam, Telegram 등의 플랫폼의 계정 페이지에 접속하여 C2 주소를 획득하는 특징이 있다. 때문에 지속적으로 C2가 변경될 수 있다.

또한 금일 새벽 5시경 유포된 크랙 위장 악성코드 중 본문의 StealC 샘플과 동일한 C2를 가진 샘플이 유포되었다. 동작 방식이 동일한 서로 다른 악성코드, 동작 방식은 다르지만 동일한 C2를 가진 악성코드가 꾸준히 발생하여 유포되는 것이다.

모두 동일한 공격자이거나 유의미한 관계가 있는 것으로 추정되며 사용자들에게 지속적인 위협이 되고 있다.

• d58a6009dec024aee176df38d39bc32b (Stealc MD5)
  413aa458fb04b7ff1c455cefdb720135 (Stealc MD5)
• hxxps://mega[.]nz/file/AhEBmaBI#lyluDB_AcC4qphklfyKhGYHyJnwyRCfvX2UC-zi6YA8 (유포지)
  hxxps://mega[.]nz/file/VWs2HKSQ#PnyLXgyDKNY1REGwFIG2D_K0Vmw8K0z_KM-aVGVEBWI (유포지)
• hxxp://193.143.1[.]226/129edec4272dc2c8.php (Stealc C2)

이처럼 설치파일을 위장한 악성코드 유포가 활발하므로 주의가 필요하다. 실행 파일을 다운로드할 때는 반드시 공식 홈페이지 도메인이 맞는지 확인해야 하며, 신뢰할 수 없는 링크로부터 다운로드한 파일은 실행해서는 안 된다.

안랩에서는 본문에 소개된 악성코드 샘플들을 다음과 같이 진단 중이다.

 StealC

• 진단명
  Infostealer/Win.Stealc.C5598726 (2024.03.09.03)
  Infostealer/Win.Vidar.R635589 (2024.03.14.00)

 

Vidar

• 진단명
  Infostealer/Win.Vidar.R635589
  Infostealer/Win.LummaC2.R635589

MD5

2c7c25d67a82fd3ab94ec5a84ce0bf9c

56043b1a19ee26f8a1886992a4db63fd

a1a3f635d93b9326202bdad56492f68f

b226d4ea9a9532321e1b3fec2924ba61

c7270a045c095dc78da8596c456aedd5

URL

http[:]//193[.]143[.]1[.]226/129edec4272dc2c8[.]php

https[:]//142[.]132[.]224[.]223[:]9001/

https[:]//37[.]27[.]36[.]6/

https[:]//65[.]109[.]172[.]49/

https[:]//gcdnb[.]pbrd[.]co/images/TkqrZotY6Ps8[.]png?o=1