웹하드를 통해 유포 중인 XWorm v5.6 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 XWorm v5.6 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다.
1. 개요
일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.
- 웹하드를 통해 유포 중인 Remcos Rat 악성코드
- 웹하드를 통해 유포 중인 UDP Rat 악성코드
- 웹하드와 토렌트를 통해 유포 중인 njRAT
- 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드
- 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어
또한, XWorm v5.6도 Github과 같은 플랫폼에서 쉽게 구할 수 있다.
2. 악성코드 분석
게임을 다운로드 받아 압축을 해제할 경우 Start.exe가 존재한다. 정상적인 게임 런처 처럼 보이지만 실제로는 게임을 실행시키는 exe는 따로 생성되어 실행되며, SoundP2.muc라는 음악 설정 파일을 위장한 Loader 역할을 하는 악성코드를 실행한다.
Start.exe를 실행하면, 바로 악성코드가 실행되거나 게임이 실행되지 않고 “Game Play!” 라는 버튼을 클릭하면 악성코드와 게임이 실행되는 형태이다. 이는 샌드박스를 우회하기 위한 것으로 추측된다. 또한, SoundP2.muc를 Windows 폴더에 복사 후 자동 실행을 위해 레지스트리에 등록한다.
SoundP2.muc 복사 경로
– 폴더 명: C:\Windows
– 복사되는 파일 명: NisSrv.exe
레지스트리 등록
– 경로: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 값 이름: Google
– 값 데이터: C:\Windows\NisSrv.exe
SoundP2.muc는 아래와 같은 C2에서 암호화된 XWorm v5.6와 Loader가 다운로드 되며, 다운로드 된 Loader는 MSBuild.exe에 XWorm v5.6가 Injection되어 실행된다. XWorm v5.6은 모니터링, 키로거, 캠 탈취, 추가 악성코드 다운로드 등과 같은 행위를 수행한다.
SoundP2.muc C2
- hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/nacati[.]res (Loader)
- hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/a95c346e-bd42-406b-a6a4-ed808e98bf67[.]res (XWorm v5.6)
XWorm v5.6 C2
- hxxps://diditaxi.kro[.]kr:1050
이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.
[파일 진단]
Trojan/Win.Generic.C5621458 ( 2024.05.13.03)
Trojan/Win.Loader.C5622810 (2024.05.18.00)
[행위 진단]
Fileless/MDP.Inject.M4852 (2024.05.21.03)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
