검색엔진에서 상용 SW의 크랙, 시리얼, 인스톨러 등 검색시 유포 페이지로 접속 유도
비정상적으로 파일 크기를 키운 형태로 유포…계정정보와 함께 가상화폐 관련 정보 탈취
안랩 ASEC 분석팀 “신뢰할 수 없는 페이지로부터의 파일 다운로드 절대 하지 말아야”

[보안뉴스 권 준 기자] 최근 소프트웨어(SW) 크랙 및 인스톨러 파일로 위장한 신종 정보탈취 악성코드가 유포되고 있어 이용자들의 각별한 주의가 요구된다. CryptBot, RedLine, Vidar 악성코드 등 기존에 SW 크랙으로 위장했던 악성코드들을 밀어내고 새로운 정보탈취 악성코드가 등장한 것이다.

안랩 ASEC 분석팀에 따르면 지난 5월 20일경부터 전 세계적으로 본격 유포되기 시작한 신종 정보탈취 악성코드를 해외에서는 ‘Recordbreaker Stealer’로 분류하고 있으며, ‘Raccoon Stealer’의 새로운 버전이라는 분석도 존재하는 것으로 알려졌다.

[보안뉴스 / 6.27.] SW 크랙 및 인스톨러 위장 신종 정보탈취 악성코드 유포

▲악성코드 유포 페이지[자료=안랩 ASEC 분석팀]

이번에 발견된 신종 악성코드는 검색엔진에서 상용 SW의 크랙, 시리얼, 인스톨러 등을 검색해 유포 페이지로 접속한 후, 압축 파일을 다운로드, 해제할 경우 생성된다. 해당 악성코드는 주로 대용량의 패딩 영역을 추가해 비정상적으로 파일 크기를 키운 형태로 유포되는 것으로 드러났다.

따라서 유포지로부터 다운로드한 압축 파일은 3~7MB 크기를 가지지만 압축 해제 시 생성되는 악성코드는 300~700MB 크기로 증가한다. 악성코드의 아이콘은 주로 인스톨러를 연상케 하며 유명 소프트웨어의 아이콘을 사용하기도 한다. 이러한 방식 외에도 전형적인 패킹 형태로 드로퍼 또는 다운로더에 의해 유포되는 케이스도 존재한다는 게 안랩 ASEC 분석팀의 설명이다.

[보안뉴스 / 6.27.] SW 크랙 및 인스톨러 위장 신종 정보탈취 악성코드 유포

▲악성코드 아이콘[자료=안랩 ASEC 분석팀]

악성코드 실행 시 명령제어(C&C) 서버의 명령에 따라 추가 라이브러리를 다운로드하며, 사용자 PC의 각종 민감 정보를 수집해 C&C 서버로 전송한다. 이때 탈취 대상도 C&C 서버의 설정에 따라 결정되며 추가 악성코드를 설치할 수도 있다. 최초 C&C 서버 접속 시 사용자명, MachineGUID값, 샘플 내 하드코딩된 키값을 전송하고 악성코드의 설정 데이터를 수신한다. 설정 데이터에는 정보탈취 대상 목록과 정보수집 행위에 필요한 라이브러리의 다운로드 주소가 명시되어 있다.

초기 샘플에서는 C&C용 도메인과 라이브러리 다운로드용 도메인이 서로 달랐지만 최근 유포 중인 샘플은 동일한 주소를 사용하는 것으로 나타났다. C&C 서버의 수명은 매우 짧은 편이며 하루에도 2~3개의 새로운 C&C 도메인을 가진 샘플들이 유포되고 있다. C&C 서버의 통신 시 User-Agent 값으로 ‘record’ 문자열을 사용하는 것이 특징이다.

설정 데이터에 존재하는 탈취 대상은 브라우저 플러그인 지갑, 오픈소스 지갑 등 가상화폐와 관련된 문자열이 대부분이며, 브라우저 쿠키, 계정 및 패스워드 등의 기본적인 정보탈취 행위는 관련 라이브러리 존재 시 기본적으로 수행되는 것으로 보인다.

해당 샘플은 시스템 기본 정보 및 설치 프로그램 목록, 스크린샷, 브라우저 저장 데이터, 각종 암호화폐 지갑 정보를 탈취한다. 탈취 대상은 C&C 서버의 응답에 따라 달라질 수 있으며 스크린샷 탈취 기능이 없고 바탕화면과 내 문서 하위의 모든 txt 파일을 탈취하도록 명령하는 C&C 서버가 확인된다고 안랩 ASEC 분석팀은 설명했다.

또한, 6월 17일부터는 C&C 서버에서 정보탈취에 사용될 라이브러리 외에 추가적인 악성코드를 다운로드해 실행하는 설정값을 응답하고 있는 것으로 나타났다. 현재 설치되는 악성코드는 ClipBanker 악성코드로 알려졌다. 작업 스케줄러 등록을 통해 시스템에 상주하며, 클립보드의 가상화폐 지갑 주소 문자열을 공격자의 지갑 주소 문자열로 변조하는 행위를 한다.

정보탈취 후 ClipBanker 악성코드를 설치하는 행위는 해당 악성코드와 동일한 방식으로 유포되는 CryptBot 악성코드와 유사하다. 현재 CryptBot 악성코드 또한 이번에 발견된 악성코드와 같이 활발하게 유포 중이다. 또한, 샘플 내부에는 사용자 기본 언어 설정이 러시아인지 확인하는 코드가 존재하지만, 해당 결과에 따라 행위의 차이는 없는 것으로 분석됐다.

안랩 ASEC 분석팀은 “크랙으로 위장해 유포되는 악성코드는 변형이 활발하고 유포량이 많기 때문에 사용자의 주의가 필요하다”며, “신뢰할 수 없는 페이지로부터 파일을 다운로드하지 않아야 하며, 특히 여러 번의 리디렉션을 거쳐 다운로드 되는 실행 파일은 악성코드일 확률이 높다. 또한, 압축 해제 시 용량이 비정상적으로 커질 경우 이번 악성코드 유포 케이스를 의심해야 한다”고 설명했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>