메일 내 첨부파일 통해 퍼뜨려… PDF 아이콘으로 위장해 사용자 쉽게 속아
사용자의 다양한 계정정보 탈취 가능성 커… 암호화폐 지갑 주소 저장시 탈취당할 수도
[보안뉴스 김영명 기자] 다크클라우드(DarkCloud)는 감염 시스템에 저장돼 있는 사용자의 계정정보들을 탈취하는 인포스틸러 악성코드로, 공격자는 다크클라우드 외에도 클립뱅커(ClipBanker) 악성코드를 함께 설치, 유포하고 있는 것으로 파악됐다.
![[보안뉴스 / 5.24.] 다크클라우드 인포스틸러, PDF 아이콘 위장해 스팸 메일로 유포 중](http://www.boannews.com/media/upFiles2/2023/05/643257667_6731.jpg)
[이미지=gettyimagesbank]
안랩 ASEC 분석팀에 따르면, 최근 스팸 메일을 통해 다크클라우드 악성코드가 유포 중인 것을 확인했다고 밝혔다. 공격자는 일상적인 메일을 발송해 메일을 열람하는 사용자가 첨부파일을 내려받고 실행하도록 유도하고 있다.
해당 메일은 회사 계정으로 지불된 금액에 대한 첨부된 사본을 확인하도록 유도하는 내용이다. 첨부 파일의 압축을 해제하면 실제 파일은 PDF 아이콘을 위장하고 있기 때문에 일반적인 사용자의 경우 단순한 문서 파일로 생각하고 악성코드를 실행할 수 있다.
![[보안뉴스 / 5.24.] 다크클라우드 인포스틸러, PDF 아이콘 위장해 스팸 메일로 유포 중](http://www.boannews.com/media/upFiles2/2023/05/643257667_5279.jpg)
▲악성코드가 첨부된 공격자의 메일[자료=안랩 ASEC 분석팀]
메일에 첨부된 파일은 드로퍼 악성코드로서 다크클라우드와 클립뱅커를 생성하고 실행하는 역할을 담당한다. 즉, 사용자가 해당 메일의 첨부파일을 다운로드하고 압축 해제 후, 실행할 경우에는 감염 시스템에 존재하는 사용자의 다양한 계정정보가 탈취당할 수 있다. 또한, 암호화폐 지갑 주소를 복사해 클립보드에 저장할 경우에는 강제로 공격자의 주소로 변경돼 거래 시에 공격자의 지갑 주소로 전송할 위험이 존재한다.
메일에 첨부된 실행 파일은 드로퍼 악성코드로서 먼저 특정 경로에 자신을 복사하고 Run 키에 등록해 재부팅 이후에도 자동으로 동작할 수 있도록 했다. 그 이후 %TEMP% 경로에 2개의 악성코드를 각각 생성하고 실행한다.
가장 먼저 생성 및 실행되는 악성코드인 ‘Lilgghom.exe’는 클립뱅커 악성코드다. 클립뱅커는 감염 시스템에서 상주하면서 사용자가 비트코인 또는 이더리움 암호화폐의 지갑 주소를 복사할 경우 공격자의 지갑 주소로 변경한다. 일반적으로 코인 지갑 주소의 경우 일정한 형식을 갖추고 있지만, 길고 랜덤한 문자열로 외우기 어려워 사용자들은 주소를 사용할 때 복사 및 붙여넣기하는 방식을 이용하게 된다. 하지만 이 과정에서 지갑 주소가 변경된다면 사용자가 특정 지갑으로 입금하려고 할 때 그 주소가 공격자의 지갑 주소로 변경돼 실제로는 다른 지갑으로 입금될 수 있다.
공격에 사용된 클립뱅커는 ‘Get Cliboard Address.exe’라는 이름으로 제작됐으며, 클립보드를 모니터링하고 있다가 특정 정규 표현식에 매칭될 경우 공격자가 지정한 지갑 주소로 변경한다.
다음으로 생성 및 실행되는 ‘Ckpomlg.exe’는 인포스틸러 악성코드로, 감염 시스템에 저장돼 있는 다양한 사용자 정보들을 수집하고 탈취하는 기능을 담당한다. 해당 악성코드는 최근 유포되고 있는 악성코드들과 달리 VB6 언어로 개발된 것이 특징이다.
다크클라우드는 일반적인 인포스틸러 악성코드들처럼 웹 브라우저 및 FTP, 이메일 클라이언트에 저장돼 있는 사용자 계정정보를 탈취한다. 또한, 수집한 정보를 명령제어(C&C) 서버에 전송할 때 SMTP나 Telegram API와 같은 방식을 사용한다는 점에서도 AgentTesla, SnakeKeylogger 같은 다른 인포스틸러와 유사하다.
참고로 다크클라우드 악성코드는 공격자의 SMTP 계정 정보가 변경돼 로그인이 불가능하다. 하지만 과거 동일한 이메일 계정을 사용한 AgentTesla 악성코드들이 함께 확인되는 것으로 보아 공격자는 다크클라우드 외에 AgentTesla 인포스틸러도 스팸 메일 공격 캠페인에 사용한 것으로 추정된다. 다크클라우드는 계정정보 수집을 위해 필요한 ‘vbsqlite3.dll’을 리소스 섹션에 갖고 있으며, 실행 중 특정 경로에 생성해 로드한다.
![[보안뉴스 / 5.24.] 다크클라우드 인포스틸러, PDF 아이콘 위장해 스팸 메일로 유포 중](http://www.boannews.com/media/upFiles2/2023/05/643257667_1207.jpg)
▲리소스 섹션에 저장돼 있는 라이브러리 파일[자료=안랩 ASEC 분석팀]
정보 탈취 대상으로는 크로미움, 파이어폭스 기반 웹 브라우저들과 아웃룩 및 ThunderBird, FoxMail과 같은 이메일 클라이언트, 그리고 CoreFTP, WinSCP와 같은 FTP 클라이언트 프로그램에 저장돼 있는 계정정보가 있다. 이외에도 웹 브라우저에 저장돼 있는 신용카드 정보 등 다양한 사용자 정보들이 탈취될 수 있다.
탈취한 정보들은 PUBLIC 내 Libraries 경로에 생성한 폴더에 저장되는데, 이 폴더에서는 탈취한 정보에 시그니처 문자열인 ‘DARKCLOUD’를 확인할 수 있다. 다크클라우드 악성코드는 수집한 정보를 탈취할 때 SMTP 프로토콜 외에도 텔레그램 API를 함께 이용하는 것이 특징이다.
ASEC 관계자는 “사용자들은 출처가 불분명한 메일의 첨부파일이나 웹 페이지에서 다운로드한 실행 파일은 더욱 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”며 “운영체제와 인터넷 브라우저 등의 프로그램들에 대해 최신 패치를 진행하고, V3 등 백신을 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 5.24.] 다크클라우드 인포스틸러, PDF 아이콘 위장해 스팸 메일로 유포 중](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
