크랙

신종 정보 탈취 악성코드 “ColdStealer” 유포 중

ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…

유튜브를 통해 유포 중인 RedLine 인포스틸러

ASEC 분석팀은 최근 RedLine 인포스틸러 악성코드가 크랙 프로그램 다운로드 링크로 위장한 유튜브 사이트를 통해 유포 중인 것을 확인하였다. RedLine은 정보 유출 악성코드로서 웹 브라우저 및 FTP 클라이언트 프로그램에 저장되어 있는 사용자 계정 정보나 스크린샷, 코인 지갑 주소 등 사용자 정보를 C&C 서버에 유출하는 기능을 갖는다. RedLine 악성코드가 최초로 확인된 것은 2020년 3월경으로 코로나 바이러스 이슈를 이용한 스팸 메일을 통해 유포된 것이 첫번째 사례이다. 이후부터 꾸준히 다양한 경로를 통해 유포되고 있으며 그 비율은 2020년 하반기에 이르기까지 꾸준히 높아지고 있다. 유포 경로로는…

구글 키워드 검색 시, 피싱 페이지 통한 CoinMiner 유포 중

구글에서 크랙, 키젠, 시리얼 번호 등의 키워드 검색 시, 상단에 노출되는 피싱 페이지를 통해 암호화폐 채굴을 위한 마이너(Miner) 악성코드가 유포 중이다. 관련 자료는 작년 12월 경 Avira에서도 공개한 바 있으며, 피싱 페이지의 경우 한국어 페이지로도 제공되어 국내 사용자들도 상당수 감염된 것이 확인되었다. [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] 구글 검색을 통해 감염이 이루어지는 전체적인 흐름은 아래의 그림과 같다. 감염 흐름도 피싱 페이지에서 악성코드가 포함된 압축 파일(*.ZIP)을 다운로드 받고 내부의 실행파일(*.EXE)을 실행할 경우, 위의 과정을 거쳐서 결국 “TiWorker.exe”라는 프로세스에 의해 코인 마이닝(암호화폐 채굴)이 진행된다….

불법 다운로드한 게임(크랙) 속에 숨어있는 악성코드

 인기게임 ‘심시티’ 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 ‘토렌트’ 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다. [그림 1] 한창 인기몰이중인 ‘심시티’ 신작 게임 악성코드는 ‘SimCityCrake.exe’ 와 ‘mscsvc.dll’ 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 ‘Microsoft Windows System Service’ 란 이름으로 서비스에 등록한다. [그림 2] 서비스에 등록된 악성코드 mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다. [그림 3] mscsvc.dll의 IRC 기능 코드 실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이…