사행성 게임을 위장하여 유포 중인 WrnRAT
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 바둑이, 맞고, 홀덤과 같은 사행성 게임을 위장하여 악성코드가 유포 중인 것을 확인하였다. 공격자는 사행성 게임을 위장한 홈페이지를 제작하였고 만약 게임 접속기를 다운로드할 경우 감염 시스템을 제어하고 정보를 탈취할 수 있는 악성코드를 설치한다. 해당 악성코드는 공격자가 직접 제작한 것으로 보이며 여기에서는 제작에 사용된 문자열을 기반으로 WrnRAT이라고 부른다.
Figure 1. 사행성 게임 위장 다운로드 페이지
위의 사례는 하나의 사례일 것으로 보이며 컴퓨터 최적화 프로그램으로 위장하여 유포된 정황도 확인된다. 악성코드 유포에는 HFS 등의 플랫폼이 사용되었다.
Figure 2. 악성코드 유포에 사용된 플랫폼
최초 설치되는 것은 Batch 악성코드로 추정되며 이를 통해 드로퍼가 설치된다. Batch 스크립트에는 한글로 작성된 주석이 확인되는 것이 특징이다.
Figure 3. Batch 인스톨러
드로퍼 악성코드는 “Installer2.exe”, “Installer3.exe”, “installerABAB.exe” 등의 이름으로 유포되며 닷넷으로 개발되었다. 드로퍼는 실행 시 런처 및 WrnRAT을 생성하고 런처를 이용해 WrnRAT을 실행한 후 자가 삭제한다. WrnRAT은 인터넷 익스플로러를 위장한 경로에 “iexplorer.exe” 이름으로 생성된다.
Figure 4. 드로퍼 및 런처 악성코드
WrnRAT은 파이썬으로 개발되었으며 PyInstaller를 이용해 실행 파일 형태로 유포되고 있다. WrnRAT의 실질적인 기능은 사용자의 화면을 캡쳐해서 전송하는 기능이지만 이외에도 기본적인 시스템 정보를 전송하거나 특정 프로세스를 종료시키는 기능을 지원한다. 공격자는 이외에도 방화벽을 설정하는 추가적인 악성코드들도 제작해 사용하고 있다.
| 명령 | 기능 |
|---|---|
| PC_INFO_REQ | 시스템 정보 전송 (IP, MAC 주소, Client ID, 게이트웨이) |
| SET_MONITOR_STATE | 모니터링 상태 설정 (스크린 캡쳐) |
| KILL_PROCESS_REQ | 대상 프로세스 종료 |
| SET_CAPTURE_DELAY | 스크린 캡쳐 딜레이 시간 설정 |
| SET_CAPTURE_QUALITY | 스크린 캡쳐 퀄리티 설정 |
Table 1. WrnRAT이 지원하는 명령
Figure 5. WrnRAT의 설정 데이터
최근 바둑이, 맞고, 홀덤과 같은 사행성 게임을 위장하여 정보를 탈취하는 악성코드가 유포 중이다. 공격자는 금전적 이익을 목적으로 하는 것으로 보이며 사행성 게임의 사용자들을 대상으로 스크린샷을 탈취한다. 이에 따라 공격자는 사행성 게임 사용자들의 게임 플레이를 확인할 수 있고 불법 게임 이용자들은 추가적인 금전적 손해를 볼 수 있다. 사용자들은 불법 및 의심스러운 출처에서 설치 프로그램을 다운로드하는 것을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
