감염 PC에서 정보 탈취하는 인포스틸러 유형… 랜섬웨어의 동작도 수행
잉카인터넷, 레드에너지 인포스틸러 캠페인 분석… 브라질과 필리핀 산업분야 공격 대상
[보안뉴스 김영명 기자] ‘레드에너지(RedEnergy)’ 스틸러를 웹 브라우저 업데이트로 위장해 유포하는 캠페인이 국내에서 발견됐다. 주요 대상은 브라질과 필리핀의 산업 분야이며, 공격자는 대상 산업의 홈페이지 링크를 리다이렉션해 가짜 사이트로 접속을 유도한다.
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](http://www.boannews.com/media/upFiles2/2023/08/954319408_7626.jpg)
▲레드에너지 스틸러를 실행했을 때 임시 폴더에 드롭된 2개 파일[자료=잉카인터넷]
해당 사이트는 웹 브라우저 업데이트가 필요하다는 메시지와 함께 다운로드 링크를 제공한다. 레드에너지 스틸러는 해당 링크에서 다운로드되며, 실행 시 감염 PC에서 정보를 탈취한다. 또한, 파일을 암호화하고 파일 복구를 빌미로 랜섬머니를 요구하는 랜섬웨어의 동작도 수행한다.
글로벌 정보보안 솔루션 기업 잉카인터넷의 분석에 따르면, 레드에너지 스틸러를 실행하면 임시 폴더에 2개의 파일을 드롭한다. 하나는 실제로 웹 브라우저를 업데이트하는 정상 파일이고, 다른 하나는 악성 동작을 수행하는 악성코드다.
웹 브라우저 업데이트 파일을 실행하게 되면, 화면 상으로는 웹 브라우저의 업데이트 동작을 보여주지만, 실제로는 백그라운드에서 악성 동작을 수행한다. 실행된 악성코드는 먼저 1차 암호화를 진행하며, 파일명에 ‘FACKOFF!’ 확장자를 추가한다.
1차 암호화 대상은 △Program Files △Program Files(x86) △Windows △$Recycle.Bin △MSOCache △Documents and Settings △Intel △PerfLogs 등 암호화 제외 폴더를 제외한 경로에서 1차 암호화 대상 확장자를 지닌 파일이다.
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](http://www.boannews.com/media/upFiles2/2023/08/954319408_7420.jpg)
▲FTP에 연결된 모습[자료=잉카인터넷]
1차 암호화가 완료되면, 레지스트리를 수정 또는 추가해 윈도 디펜더와 스마트 스크린을 비활성화하고, 익스플로러의 UAC(User Account Control, 사용자 계정 컨트롤)를 해제한다. 이후, 특정 링크에 연결해 최종 페이로드를 수행할 추가 악성코드를 내려받고, 악성코드 다운로드에 실패할 경우를 대비해 FTP를 이용해 같은 악성코드를 다시 다운로드한다. 단, 현재는 서버에 해당 파일이 존재하지 않아 다운로드할 수 없다.
다운로드된 악성코드는 탈취할 정보를 수집한다. 암호화폐 지갑 정보 수집은 VPN 3개 프로그램, 메신저 12개 프로그램, FTP 8개 프로그램, 이메일 5개 프로그램 등을 포함한 56개의 지갑을 대상으로 진행하며, AppData 폴더와 레지스트리 값을 검색해 관련 정보가 있는지 확인하고 정보를 지정된 경로로 복사한다.
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](http://www.boannews.com/media/upFiles2/2023/08/954319408_9906.jpg)
▲암호화폐 지갑 정보 수집 대상 목록[자료=잉카인터넷]
해당 악성코드는 FireFox, Microsoft Edge, InternetExplorer, Chromium 등 특정 브라우저에서 북마크, 쿠키, 로그인 및 신용카드 정보 등을 추출해 수집한다. 추가로, VPN, Messenger 및 FTP 등의 프로그램 정보를 수집하고, 텔레그램을 이용해 수집한 정보를 전송한다. 정보 전송을 완료하면, 시스템 복원 무력화 명령어로 볼륨 섀도 복사본과 윈도 백업 카탈로그를 삭제해 시스템 복원을 무력화한다.
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](http://www.boannews.com/media/upFiles2/2023/08/954319408_4481.jpg)
▲시스템 복원 무력화를 위한 명령어들[자료=잉카인터넷]
그 이후 2차 파일 암호화를 진행하며, 암호화된 파일은 파일명에 네 개의 랜덤 문자열로 된 확장자를 추가한다. 2차 암호화는 암호화 제외 폴더를 제외한 경로에서 .txt, .jar, ,dat 등 2차 암호화 대상 확장자를 포함한 229개의 확장자를 갖고 있는 파일을 대상으로 한다.
단, boot(.)ini, bootfont(.)bin 등 특정 13개 파일은 2차 암호화 대상에서 제외한다. 암호화가 끝나면, read_it이라는 이름의 텍스트 파일로 랜섬노트를 생성하고, 랜섬노트의 내용이 담긴 사진으로 바탕화면 배경을 변경해 사용자에게 랜섬웨어 감염 사실을 알린다.
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](http://www.boannews.com/media/upFiles2/2023/08/954319408_8560.jpg)
▲공격한 PC에 남겨진 랜섬노트[자료=잉카인터넷]
잉카인터넷 관계자는 “레드에너지 스틸러는 감염된 PC에서 민감한 정보를 탈취하고, 추가로 파일을 암호화해 치명적인 피해를 끼칠 수 있기 때문에 사용자의 주의가 필요하다”며 “정식 홈페이지가 아닌 사이트에서의 파일 다운로드를 지양하고, 백신 프로그램의 실시간 감시 활성화와 항상 최신 버전으로 유지할 것을 권고한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 8.24.] 레드에너지 인포스틸러, 웹 브라우저 업데이트로 위장해 유포돼](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
