유튜브 계정들을 해킹해 인포스틸러를 유포하는 공격자들 (Vidar, LummaC2)

AhnLab SEcurity intelligence Center(ASEC)은 최근 공격자들이 악성코드 유포를 목적으로 유튜브를 활용하고 있는 사례가 증가하고 있는 것을 확인하였다. 공격자들은 단순하게 유튜브 계정을 만들고 악성코드를 유포하는 것이 아닌 이미 존재하는 유명 유튜브 계정들을 탈취해 악성코드를 유포하고 있다. 확인된 사례들 중에는 구독자가 80만 명이 넘는 경우도 존재한다.

유튜브를 악용하는 공격자들은 주로 인포스틸러를 유포하고 있다. 과거 2020년 유튜브를 악용해 RedLine 인포스틸러를 유포한 사례부터 시작해 이번에 확인된 사례도 Vidar와 LummaC2 등 모두 인포스틸러 악성코드들이다.

1. 유튜브를 이용한 악성코드 유포 사례

악성코드를 유포하는 방식들은 다양하지만 가장 대표적인 사례로 웹 서비스를 악용하는 방식이 있다. 일반적으로 사용자들이 프로그램을 다운로드하는 경우는 정상 프로그램일 수도 있고 게임핵, 크랙, 키젠과 같은 불법 프로그램일 수도 있다. 공격자는 이러한 프로그램들이 업로드된 것으로 위장한 웹 페이지를 제작하고 악성코드를 업로드한다. 이에 따라 사용자들은 원하는 프로그램 대신 악성코드를 다운로드해 실행하는 형태로 감염이 이루어진다.

이러한 방식으로 악성코드 유포에 사용되는 웹 페이지들로는 파일 공유 사이트 [1] 외에도 침해된 사이트 [2], 블로그 [3] 등이 존재한다. 하지만 유튜브 또한 악성코드 유포에 사용될 수 있는데 유튜브가 동영상뿐만 아니라 설명 그리고 댓글을 이용해 악성코드 다운로드 링크를 첨부할 수 있기 때문이다. 이에 따라 공격자들은 과거 2020년부터 RedLine [4], BlackGuard [5], RecordBreaker [6] 등의 인포스틸러 악성코드들을 유포해 왔다.

과거에는 직접 유튜브 계정을 생성하여 업로드하였기 때문에 구독자의 수가 많지 않았지만 2023년 RecordBreaker 유포 사례에서는 구독자 10만 명이 넘는 계정을 해킹하여 유포한 사례가 확인되었다. 최근에는 이러한 방식을 이용한 공격 사례가 증가하고 있으며 구독자 수가 80만 명이 넘는 계정이 해킹되기도 하였다. 공격 대상이 된 유튜브 계정들로는 가수, 스포츠 등 인플루언서와 종교, 애니메이션을 주제로 한 채널 등 다양하다.

2. 공격에 사용된 악성코드들

공격 방식은 모두 유사한데 어도비와 같은 정상 프로그램의 크랙을 주제로 한 동영상을 업로드하면서 본문이나 댓글에 다운로드 링크를 첨부한다. 악성코드들은 모두 MediaFire에 업로드되어 있으며 비밀번호가 설정된 압축 파일 형태이다. 이는 보안 제품의 탐지를 우회하기 위한 목적으로 보인다. 압축 파일의 압축을 해제하면 설치 파일을 위장한 악성코드들이 확인된다.

2.1. Vidar 인포스틸러

다음은 Vidar 악성코드를 위장한 설치 파일로서 과거 LummaC2 인포스틸러를 유포한 사례와 동일하다. [7] 일반적으로 사용자가 실행하게 될 “Set-up.exe” 파일은 엣지의 “identity_helper.exe”로서 정상 파일이다. 하지만 해당 파일이 실행되면 동일 경로에 위치한 “msedge_elf.dll” 파일을 로드하게 되는데 해당 파일이 패치된 형태의 악성코드이다. 정상 “msedge_elf.dll”의 코드 일부분을 패치한 악성코드는 실행 도중 동일 경로에 위치한 “berley.asp”와 “complot.ppt” 파일을 복호화해 쉘코드 및 실제 악성코드의 페이로드로서 사용한다.

이외에도 과거 RecordBreaker 인포스틸러 유포 사례와 유사한 방식으로 유포되는 경우도 존재한다. [8] 이러한 방식의 특징은 보안 제품의 탐지를 우회하기 위해 파일의 크기를 800MB 정도로 의도적으로 키워서 유포한다는 점이다. 물론 의도적으로 추가한 페이로드는 일정한 패턴이 존재하기 때문에 실제 압축 파일은 이보다 작다. 다음 사례에서도 800MB 크기의 “Setup.exe”의 크기가 압축 이후 8MB로 줄어든 것을 알 수 있다.

두 유포 사례는 동일한 공격자의 소행으로 추정되는데 C&C 서버의 주소가 동일하기 때문이다. Vidar는 C&C 서버와의 통신에서 Telegram과 Steam Community를 활용한다. 다음과 같이 실제 C&C 서버의 주소는 각 프로필에 지정되어 있으며 이를 참고하여 실제 C&C 서버에 접속하여 수집한 정보를 탈취한다.

2.2. LummaC2 인포스틸러

다음은 LummaC2 악성코드가 포함된 설치 파일들이다. 위에서 다룬 Vidar 악성코드 사례와 비교해서 별다른 특징은 존재하지 않으며 설치 파일로 위장한 실행 파일 자체가 악성코드이다.

LummaC2는 최근 활발히 유포 중인 인포스틸러 악성코드로서 주로 상용 프로그램 크랙을 위장해 유포되고 있다. [9] Vidar, Azorult, RedLine, AgentTesla 등 일반적인 인포스틸러 악성코드들처럼 웹 브라우저, 이메일, FTP 클라이언트 등에서 계정 정보를 탈취하며 이외에도 스크린샷이나 암호 화폐의 지갑 파일을 탈취하기도 한다.

3. 결론

최근 공격자들이 유명 유튜브 계정을 해킹해 Vidar와 LummaC2 악성코드를 유포하고 있는 사례가 확인되었다. 해당 악성코드들은 모두 감염 시스템에 저장되어 있는 다양한 사용자 정보들을 수집해 탈취하는 인포스틸러로서 이외에도 추가적인 악성코드를 다운로드해 설치할 수 있다.

공격 대상이 된 계정들은 구독자 수가 80만 명이 넘는 경우도 존재하였으며 이에 따라 사용자들은 별다른 의심 없이 악성코드를 설치할 수 있다. 공격자들은 공통적으로 상용 프로그램의 크랙을 위장한 것이 특징이다.

이렇게 다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 다운로드하는 행위를 지양해야 하며, 정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Trojan/Win.Evo-gen.C5558850 (2023.12.05.01)
– Malware/Win.Generic.R642292 (2024.03.30.01)
– Infostealer/Win.Vidar.R642530 (2024.04.01.02)
– Infostealer/Win.Vidar.C5603574 (2024.03.21.03)
– Data/BIN.Encoded (2024.04.01.02)

행위 진단
– Injection/MDP.Hollowing.M4180

MD5

0c9c366aa9938df153c406db65debe82

2414085b0a5bf49d9658f893c74cf15e

af273f24b4417dce302cf1923fb56c71

cd0338fffaebc9cbc50a435868397e96

dae50482d640385a5665272cd1f716df

URL

https[:]//78[.]47[.]221[.]177/

https[:]//95[.]216[.]176[.]246[:]5432/

https[:]//affordcharmcropwo[.]shop/api

https[:]//chokepopilarvirusew[.]shop/api

https[:]//cleartotalfisherwo[.]shop/api