개요

ASEC(AhnLab SEcurity intelligence Center)은 매주 피싱 이메일로 유포되는 악성코드에 대한 정보를 “주간 피싱 이메일 유포 사례”라는 제목으로 ASEC Blog를 통해 공개하고 있다.

EXE 파일에 대한 유포량은 “.NET” 유형의 악성코드가 압도적으로 많았으나, 최근 들어 AutoIt으로 컴파일된 악성코드 유포량이 급증하고 있다. 또한, XLoader 인포 스틸러 유포량이 제일 많았으며 이외에도 SnakeKeylogger, RedLine, AgentTesla, RemcosRAT 등 여러 악성코드들이 유포 중인 것을 확인했다.

AutoIt은 Windows 운영 체제에서 자동화 작업을 수행하기 위해 개발된 스크립팅 언어로, 쉽게 EXE 파일로 컴파일할 수 있다. 또한, 설정이나 환경 의존성이 적고 별도의 라이브러리 설치가 필요하지 않아 “.NET” 유형으로 제작할 때보다 비교적 수월하다.

그래서인지 2024년 8월부터 AutoIt 유형의 악성코드 유포량이 급증하고 “.NET” 유형의 악성코드는 점점 줄어들고 있는데, 본 문서에서는 월별 악성코드 유포 현황과 유포 중인 AutoIt 유형에 대한 3개의 사례에 대해 소개하는 과정을 다룬다.

 

유포량 통계

지금까지는 주로 “.NET” 악성코드가 압도적으로 많이 유포되었으나, 최근 들어 AutoIt으로 컴파일된 악성코드 유포량이 급증하고 있다. 2024년 8월부터 급증하기 시작했으며, “.NET” 악성코드 유포량과의 차이가 2배가 안 되는 수준으로 줄어들었다가 12월까지는 유포량의 차이가 거의 없어졌다. 반면, 아래 [그림 1]을 통해 “.NET” 악성코드는 유포량이 점차 감소하고 있는 것을 알 수 있다.

※ 그래프의 값은 0에서 10 구간을 가지며, 수치가 높을수록 악성코드가 많이 배포되는 것으로 해석할 수 있다.

 

 

[그림 1] 2024년 유포량 통계 그래프

그 이유는 다양하겠지만, AutoIt으로 컴파일하는 것이 “.NET”으로 컴파일하는 것보다 비교적 수월하고 의존성이 적기 때문으로 보인다. 또한, 12월의 유포량은 둘 다 확연히 줄었는데, 이는 일시적인 현상일 수 있다.
 

 

 

AutoIt 구조

유포 사례를 소개하기에 앞서 AutoIt에 대해 간략히 설명하면, AutoIt은 Windows 운영 체제에서 자동화 작업을 수행하기 위해 개발된 스크립팅 언어로, 쉽게 EXE 파일로 컴파일할 수 있다. 또한, 다른 언어에 비해 설정이나 환경 의존성이 적으며 별도의 라이브러리 설치가 필요하지 않다.

v3.3.8.1까지는 스크립트를 EXE 파일로 컴파일하면, EXE의 Overlay 부분에 암호화된 상태로 스크립트가 포함되며, 실행 시 Overlay 부분을 복호화하여 실행하는 구조이다.

[그림 2] v3.3.8.1로 컴파일된 AutoIt EXE 구조 

 

이후 버전부터는 EXE로 컴파일 시 RCData 리소스 섹션에 암호화된 상태로 포함되며, 실행 시 해당 부분을 복호화하여 실행하는 구조이다. 

[그림 3] v3.3.16.1로 컴파일된 AutoIt EXE 구조

 

본 보고서에서는 AutoIt 악성코드 구조별 상세 유포 사례들을 추가 설명한다.

 

MD5

001c439ef3941045f1d139d2172fc922

0084fa11e77425fd332e10928312f760

013eddd3584c1bebdff3e5efc99ef3d7

0154fe9c5f4ad81beeedcf4fdb397ed4

02371e83603c6f0718c1297bb9c92139