AhnLab SEcurity intelligence Center(ASEC)에서는 최근 ViperSoftX 공격자가 Tesseract를 활용하여 사용자의 이미지 파일들을 탈취하고 있는 것을 확인하였다. ViperSoftX는 감염 시스템에 상주하면서 공격자의 명령을 실행하거나 암호 화폐 관련 정보를 탈취하는 기능을 담당하는 악성코드이다.
이번에 새롭게 확인된 악성코드는 오픈 소스 OCR 엔진인 Tesseract를 활용하였다. Tesseract는 딥러닝 방식으로 이미지에서 텍스트를 추출하는 기능을 지원한다. 공격에 사용된 악성코드는 감염 시스템에 저장된 이미지들을 읽어 Tesseract 도구로 문자열을 추출한다. 만약 추출한 문자열에 비밀번호나 암호 화폐 지갑 주소와 관련된 문자열이 확인될 경우 해당 이미지를 탈취한다.
여기에서는 먼저 수년 전부터 유포되고 있는 ViperSoftX 악성코드에 대해 간략하게 정리한다. 기본적인 명령 실행이나 암호 화폐 지갑 주소 탈취와 같은 기능들은 이미 상세한 분석 자료가 존재하기 때문에 최신 버전에서 확인되는 차이점과 실제 공격자가 ViperSoftX를 활용해 유포하고 있는 악성코드들을 위주로 다룬다. 공격자는 다수의 시스템에 설치된 ViperSoftX를 이용해 지속적으로 악성코드들을 새롭게 설치하고 있으며 대표적으로 Quasar RAT과 TesseractStealer가 있다.
1. ViperSoftX
ViperSoftX는 감염 시스템을 제어하고 정보를 탈취할 수 있는 악성코드로서 주로 정상 소프트웨어의 크랙이나 키젠을 위장하여 유포되고 있다. 2020년 Fortinet 사에 의해 최초로 확인되었으며 감염 시스템을 제어할 수 있는 RAT 악성코드와 암호 화폐 지갑 주소를 탈취하는 정보 탈취 악성코드를 설치하였다. [1]
2022년에는 Avast 사에 의해 새로운 활동이 보고되었는데, 기존에 사용하던 JavaScript 대신 PowerShell 스크립트를 사용하였으며 암호 화폐 지갑 주소 외에도 클립보드 변경, 추가 페이로드 설치 등의 기능이 추가되었다. 또한 크롬 기반 웹 브라우저의 악성 확장 프로그램을 설치하는 VenomSoftX를 이용해 정보를 탈취하기도 하였다. [2] TrendMicro 사의 2023년 보고서에서는 ViperSoftX의 유포 방식을 다루었으며 기존과 비교해서 “KeePass 2” 및 “1Password”와 같은 비밀번호 관리자가 설치되었는지를 검사하는 루틴이 추가된 사실이 확인되었다. [3]
2. 악성코드 유포에 사용되는 ViperSoftX
최근 유포 중인 ViperSoftX는 컴퓨터 이름, 사용자 이름, 설치된 보안 제품, 암호 화폐 관련 정보 등 감염 시스템의 정보들을 전송한다는 점에서 과거 Fortinet 사에서 공개한 유형과 유사하다. 하지만 이러한 정보가 포함된 User-Agent를 Base64 알고리즘으로 암호화했다는 점이나 “viperSoftx” 키워드 대신 “Welcome_2025”라는 키워드가 사용되었다는 점이 차이점이다.
공격자는 ViperSoftX를 업데이트하기 위해 “win32.exe”라는 이름의 드로퍼를 설치하였다. 드로퍼는 내부 리소스에 “Svchost.exe”와 “System32.exe”라는 이름의 악성코드를 포함하고 있으며 최종적으로 “update.ps1”이라는 이름의 파워쉘 스크립트를 작업 스케줄러에 등록한다.
“update.ps1”는 실제 ViperSoftX 파워쉘 스크립트를 생성하고 작업 스케줄러를 등록한다. 이에 따라 최종적으로 각각 %PROGRAMDATA%, %PUBLIC% 경로에 위치한 “update.ps1”를 실행하는 작업이 “Check system”과 “Chromeniumscrypt”라는 이름으로 생성된다.
과거 6개의 명령을 지원했던 것과 달리 최근에 확인되는 ViperSoftX는 “DwnlExe”, “Cmd”, “SelfRemove” 3개의 명령만을 지원하는 것이 특징이다.
이외에도 외부에서 명령을 다운로드해 실행하는 파워쉘 스크립트와 웹 브라우저 확장 악성코드를 설치하는 기능을 담당하는 VenomSoftX 파워쉘 스크립트도 함께 확인되고 있다. 파워쉘 스크립트들은 작업 스케줄러에 등록되어 동작하기 때문에 시스템에서 지속적으로 실행되며 주기적으로 업데이트 된다.
공격자는 이렇게 감염 시스템에 설치된 ViperSoftX를 이용해 추가 악성코드들을 설치할 수 있으며 실제로 Quasar RAT이나 TesseractStealer를 설치하는 사례가 확인되고 있다.
3. Quasar RAT
Quasar RAT은 닷넷으로 개발된 오픈 소스 RAT 악성코드이다. 일반적인 RAT 악성코드들처럼 프로세스 및 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능들을 제공한다. Quasar RAT은 이외에도 키로깅, 계정 정보 수집 기능들을 제공하여 사용자 환경의 정보를 탈취할 수 있고, 원격 데스크톱을 통해 공격자가 실시간으로 감염 시스템을 제어할 수 있다.
공격자는 ViperSoftX를 이용해 Quasar RAT을 유포하고 있으며 이는 최소한 2023년 7월부터 확인된다. 공격자는 특정 대상을 지정하여 Quasar RAT을 유포하는 것이 아닌 감염된 시스템들 다수를 대상으로 대량으로 Quasar RAT을 설치하는 것으로 보인다. 특히 2024년 3월부터는 많은 수의 시스템들에서 Quasar RAT이 설치되고 있는 사례가 지속적으로 확인되고 있다.
공격에 사용된 Quasar RAT들 대부분은 별다른 특징이 존재하지 않지만 최근에는 Tor 네트워크를 이용하는 사례도 확인되었다. 해당 악성코드는 Tor 웹 브라우저를 설치한 이후 이를 프록시 서버로 사용하여 C&C 서버와 통신한다. 실제 설정 정보에 저장된 C&C 서버의 주소도 Onion 도메인이 사용된다.
4. TesseractStealer
공격자는 Quasar RAT 외에도 정보 탈취 악성코드를 설치하였다. 여기에서는 해당 악성코드를 TesseractStealer로 지칭한다. TesseractStealer는 오픈 소스 OCR 엔진인 Tesseract를 활용하는데, Tesseract는 딥러닝 방식으로 이미지에서 텍스트를 추출하는 기능을 지원하는 도구이다. [4]
TesseractStealer는 먼저 리소스에 존재하는 Tesseract(tesseract50.dll)와 Leptonica(leptonica-1.82.0.dll) 라이브러리 파일들과 학습 데이터 파일(eng.traineddata) 및 폰트 파일(pdf.ttf)을 생성한다. 이후 시스템에 존재하는 이미지 파일들 즉 “.png”, “.jpg”, “.jpeg” 파일들을 구하는데 “editor”라는 경로에 존재하는 경우는 제외한다.
이후 각 이미지 파일들에 대해 설치한 Tesseract 라이브러리를 활용해 문자열들을 추출한다. 추출한 문자열에 대해 다음과 같은 문자열이 포함되었는지를 검사한다. 만약 해당 문자열이 포함되어 있다면 C&C 서버에 이미지 파일을 전송한다.
검사하는 문자열들은 모두 OTP나 복구에 필요한 비밀번호, 암호 화폐 지갑 주소와 같은 문자열들이다. 즉 공격자는 사용자가 암호 화폐 지갑 주소나 비밀번호와 같은 정보들을 저장할 때 스크린샷 캡처를 이용해 이미지 파일로 저장할 경우 이러한 이미지 파일들을 탈취하기 위한 목적으로 보인다. 예를 들어 “your wallet generation seed is” 구문은 다음과 같이 Electrum 지갑 주소 생성 시 필요한 Seed 문구 대상으로 하는 것으로 추정된다. 공격자는 탈취한 Seed 문구를 이용해 지갑을 복원하여 가상 화폐를 탈취할 수 있다.
5. 결론
최근 감염 시스템을 제어하고 사용자 정보를 탈취하는 ViperSoftX 악성코드의 활동이 눈에 띄게 증가하고 있다. ViperSoftX는 주로 정상 프로그램의 크랙이나 키젠을 위장하여 유포되는 것으로 알려져 있으며 감염 시스템에 지속적으로 상주하면서 추가 악성코드들을 설치한다. 최근 공격자는 ViperSoftX를 이용해 Quasar RAT과 TesseractStealer를 설치하고 있다. TesseractStealer는 Tesseract라고 하는 이미지 추출 도구를 활용하여 사용자의 이미지 파일들 중에서 비밀번호나 암호 화폐 관련 스크린 캡처 파일들을 탈취한다.
사용자는 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하는 것을 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Backdoor/Win32.QuasarRAT.R341693 (2020.06.27.06)
– Trojan/Win.Generic.C5440564 (2023.06.13.01)
– Trojan/Win32.Agent.C2862808 (2018.11.28.00)
– Trojan/Win32.RL_Downeks.C4069173 (2020.04.19.01)
– Infostealer/Win.Tesseract.R646594 (2024.04.29.02)
– Trojan/Win32.Subti.R285137 (2019.08.06.05)
– Trojan/PowerShell.ViperSoftX (2024.04.29.03)
– Downloader/Powershell.ViperSoftX.SC199376 (2024.04.29.02)
– Downloader/Powershell.ViperSoftX.S2677 (2024.05.03.03)
– Trojan/PowerShell.ViperSoftX.S2690 (2024.05.16.02)
– Trojan/PowerShell.ViperSoftX.S2691 (2024.05.16.02)
– Trojan/PowerShell.ViperSoftX.S2692 (2024.05.16.02)
– Trojan/JOB.ViperSoftX.S2679 (2024.04.29.02)
– Trojan/JOB.ViperSoftX.S2680 (2024.04.29.02)
AMSI 진단
– Downloader/Powershell.ViperSoftX.SA2678 (2024.05.03.03)
– Downloader/Powershell.ViperSoftX.SA2688 (2024.05.03.03)
– Trojan/Powershell.ViperSoftX.SA2690 (2024.05.09.03)
– Trojan/PowerShell.ViperSoftX.SA2691 (2024.05.16.02)
– Trojan/PowerShell.ViperSoftX.SA2692 (2024.05.16.02)
행위 진단
– Malware/MDP.Inject.M2907
– Execution/MDP.Powershell.M1185
– Execution/MDP.Powershell.M1201
IoC
MD5
– f9bb6ef02f29f52ff126279ff7d044bb : ViperSoftX Dropper (win32.exe)
– bdd3d30ea4bc94d1240ea75f1aa212eb : ViperSoftX Installer (Svchost.exe)
– f52616c47b243f3373248ed2a5f49e1c : ViperSoftX Installer (System32.exe)
– c21b68dae810444cc013722e97b77802 : ViperSoftX PowerShell Installer (update.ps1)
– d9a4b64d20c6860f12b6da0ecd53983a : ViperSoftX PowerShell (update.ps1)
– 4373f159c79da9ecf7a05b81868c3a97 : ViperSoftX Downloader PowerShell
– 240766d7b6b936fad871ea1a7fefc141 : VenomSoftX PowerShell (Decrypted)
– c00e53e8cbb5701157002091db4a2500 : Quasar RAT – 2023년 7월 (microsoft.exe)
– 3b20a80251740bb4443968cdd125b99d : Quasar RAT – 2023년 7월 (csrss.exe)
– fffb28442b89e1387b30a40cbb211570 : Quasar RAT – 2023년 7월 (NVIDIA.exe)
– 66bdc2d36d460fb25bb2114f770d5ade : Quasar RAT – 2024년 3월 이후 (powershells.exe)
– 06cba6b21f02f980f755da363dfc50a8 : Quasar RAT – 2024년 3월 이후 (dllhost.exe)
– 6987e127bc6c12fcb9f1876e8ecf64d1 : Quasar RAT – 2024년 3월 이후 (conhost.exe)
– 862d9a823ae99b9181b749ae66198bca : Quasar RAT – Tor, 2024년 3월 이후 (java.exe)
– 4c96de9869538349c8daae65342ad94c : TesseractStealer (56cb4553-d33a-42b8-8d77-bb3f279f5191.x)
C&C 서버
– hxxp://mysystemes[.]com:80/connect : ViperSoftX PowerShell
– hxxp://xboxwindows[.]com/api/v1/ : ViperSoftX DownLoader PowerShell
– bideo.duckdns[.]org:15 : Quasar RAT (2023년 7월)
– bideo.duckdns[.]org:2 : Quasar RAT (2023년 7월)
– bideo.duckdns[.]org:7 : Quasar RAT (2023년 7월)
– mvps-remote.duckdns[.]org:103 : Quasar RAT (2024년 3월 이후)
– youtubevideos.duckdns[.]org:5 : Quasar RAT (2024년 3월 이후)
– win32updates.duckdns[.]org:1 : Quasar RAT (2024년 3월 이후)
– x75tjpwatl2uyunijiq6jwqhlar3j5fkpi5optv7tfreijbpylwnnbqd[.]onion:8880 : Quasar RAT (2024년 3월 이후)
– hxxps://22.rooz2024.workers[.]dev : TesseractStealer
다운로드 주소
– hxxps://www.uplooder[.]net/f/tl/92/fd73d54c0013b987b9f3b66d839975d9/csrss.exe : Quasar RAT
– hxxp://rooz2024[.]com/wfdfsgfsgdh/wfin.x : TesseractStealer
참고 자료
– 탈취 대상 이미지 선정에 사용되는 문자열들
| “if you have any problem with scanning the qr”, “enable google authentication”, “write down each word”, “write down your secret phrase”, “do not create a digital copy such as a screenshot”, “write down or copy these words”, “do not share your phrase to anyone”, “you will be shown a secret phrase on the next screen”, “your wallet generation seed is”, “please save these 12 words”, “write down this 12-word secret recovery”, “Please write down the following words and keep them in a secure place”, “Warning: Do not share these words with anyone. If lost, you might lose your funds”, “Ensure you write these words in their order and store them offline”, “These words are the key to recovering your wallet. Do not lose them”, “If you lose access to your wallet, these words can be used for its recovery”, “Do not store these words on your device or in an email. Use a piece of paper to note them down and keep it in a safe place”, “Your seed phrase is the only way to restore your funds. Keep it private”, “Never enter your seed phrase into any website or software you don’t trust”, “Avoid storing your seed phrase electronically to minimize hacking risks”, “If someone gets access to your seed phrase, they have access to your funds”, “Always double-check and verify your seed words before finalizing”, “Lost seed phrases cannot be recovered by us or anyone else”, “For added security, consider storing multiple physical copies of your seed phrase in different locations”, “Never disclose your seed phrase, even to support or staff members”, “Do a regular check to ensure you still have access to your seed phrase”, “Using a passphrase in conjunction with your seed phrase can provide an extra layer of security”, “Remember, your funds are as safe as your ability to keep your seed phrase secure”, “It’s your responsibility to ensure the confidentiality of your seed phrase” |
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
딥러닝은 전문적으로 계속해서 관심을 가지고 지속적으로 해서 미래를 대비하겠습니다.