정보 탈취형 악성코드 LummaC2, 가짜 캡차 인증 페이지를 통해 유포 중
ASEC(AhnLab SEcurity intelligence Center)에서는 붙여넣기 기능을 활용하여 유포되는 DarkGate 악성코드를 소개한 바 있다.
해당 사례의 유포 방식은 MS Word 파일 열람을 위장한 HTML 첨부파일(피싱메일)을 통해 악성코드를 유포하였으나, 최근에는 가짜 캡차 인증 페이지를 통해 유포되는 정보 탈취형 악성코드(LummaC2)가 확인되었다.
1. 유포 경로
초기 유포 페이지를 열람하면, 아래와 같이 익숙한 인증 화면이 존재한다. 해당 페이지에서 “I’m not a robot” 버튼을 클릭하면 클립보드에 악성 URL에 연결하는 명령어가 복사된다.
[그림 1] 가짜 캡차 인증 페이지
공격자는 거짓된 인증 단계를 설명하며, 사용자가 직접 “실행 단축키”를 통해 클립보드에 복사된 명령어를 실행하도록 유도한다.
[그림 2] 클립보드에 명령어를 복사하는 코드
2. 난독화된 HTA 파일
해당 명령어는 ‘mshta.exe’ 프로세스를 이용해 악성 URL에 있는 악성 스크립트를 포함한 파일(web44.mp4)을 실행한다. 이 파일은 mp4 확장자와는 무관한 내용으로, 난독화되어 스크립트로 인식되기 어렵게 만들어져 있으며, 파일의 문자열을 추출하면 스크립트를 확인할 수 있지만, 이 역시 난독화 되어있다.
[그림 3] (좌 : web44.mp4 원본 파일 / 우 : web44.mp4의 문자열 추출을 통해 확인되는 스크립트 파일)
3. 파워쉘 스크립트 로더
HTA 파일은 결과적으로 파워쉘 스크립트를 실행한다. 실행되는 파워쉘 스크립트 역시, AES 암호화가 되어있다.
[그림 4] AES 복호화 한 스크립트
AES 난독화 된 파워쉘 스크립트는 추가적인 파워쉘 스크립트(web.png)를 다운로드하여 실행한다.
[그림 5] Lumma C2를 실행하는 파워쉘 스크립트 (web.png)
4. LummaC2
최종적으로 실행되는 악성코드는 LummaC2 악성코드이며, 브라우저나 암호화폐와 같은 정보 탈취가 가능하다.
[그림 6] C2 통신하는 LummaC2
“hwid”는 감염 PC의 고유 식별자이며 “pid”는 탈취 정보 종류에 따라 1~3의 숫자로 지정된다. “lid”는 Lumma ID로 설명되며, 유포 악성코드의 캠페인 식별자로 사용될 것으로 추정된다. LummaC2에 대한 상세한 정보는 아래 블로그를 통해 확인할 수 있다.
또한, Lumma C2는 클립보드를 모니터링하여 암호 화폐 지갑 주소가 복사될 경우, 공격자의 지갑 주소로 변경하는 ClipBanker를 모듈로 활용하기도 한다.
[그림 7] ClipBanker
5 . 결론
가짜 캡차 페이지를 통해 유포되는 LummaC2 악성코드는 주로 크랙 프로그램 다운로드 페이지나 피싱 이메일을 통해 전파되며, 사용자는 출처가 불분명한 이메일이나 웹사이트를 이용할 때 각별히 주의해야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
