보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

불법 크랙 프로그램 찾다가 악성코드 감염?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2020-11-11

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램 다운로드 웹사이트를 위장하여 정보 유출형 악성코드를 유포하는 피싱 사이트를 발견했다. 피싱 사이트의 게시글은 실제 유틸리티 프로그램 이미지와 함께 정교하게 구성되어 있어 악성 여부를 알아채기 어려운만큼, 사용자들의 각별한 주의가 요구된다. 

 

 

 

이번에 발견된 피싱 사이트는 ASEC이 지난 6월 29일 블로그를 통해 발표한 내용과 유사하게 동작한다. 구글 검색 키워드로 유틸리티 프로그램명과 ‘크랙(Crack)’을 함께 검색하면 상단에 노출된다. 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해 해당 페이지에 접속하여 감염되었을 것으로 추정된다.

 

 

 [그림 1] 크랙 프로그램 검색 시 상단에 노출되는 피싱 사이트

 

감염 경로를 요약하면, 피싱 사이트에 접속한 사용자가 페이지 하단에 위치한 다운로드 링크([그림 3])를 클릭하면 악성코드 유포지로 접속되고, 최종적으로 악성코드를 포함한 압축 파일을 다운로드 받게 되는 형식이다.

 

  

 [그림 2] 피싱 페이지 화면

 

  

 [그림 3] 게시글 하단에 위치한 정보 유출형 악성코드 다운로드 링크

 

악성코드는 ‘유틸리티명_특정 해시값.zip’ 형태로 다운로드된다. 압축파일에는 정보 유출형 악성코드가 포함된 SetupFile-86x-64xen.zip 압축파일과 압축 비밀번호가 담긴 txt 파일, 악성코드 실행을 유도하는 ReadMe.txt 파일이 저장되어 있다.

 

 

[그림 4] wondershare_ceccea53be6aa48d6199e175b0035715.zip 압축파일 내부

 

ReadMe 문서에는 현재 사용 중인 Anti-Virus(AV), 방화벽 등을 종료할 것을 요구하는 문구가 있다 ([그림 5] 참고). 이는 보통 키젠(Keygen)이나 크랙 버전 프로그램들을 유해한 프로그램으로 진단하기 때문인 것으로 보이지만, 실제로 해당 파일은 키젠, 크랙 프로그램이 아닌 악성코드의 기능만 존재하기 때문에 악성코드 진단 우회 목적으로 명시한 문구로 보인다.

 

 

 [그림 5] First-ReadMe–.txt 파일 내부

 

SetupFile-86x-64xen.zip 압축해제를 위해 ‘77788899’ 패스워드를 입력하면 악성코드(SetupFile-86x-64xen.exe)가 생성된다. 악성코드를 실행하면 “%temp%\IXP000.TMP” 폴더에 정상 오토잇 스크립트 실행 프로그램([그림 6]의 lsass.com)과 인코딩된 악성 PE 파일을 드롭한다. 이후 “c:\windows\system32\attrib.exe”를 실행시킨 뒤 인코딩 PE를 디코딩하여 인젝션한다.

 

  

 [그림 6] 자사 동적 분석 시스템 RAPIT 프로세스 트리 정보

 

디코딩된 PE는 안티 샌드박스(Anti-SandBox) 기능이 존재하는 정보 유출형 악성코드다. 해당 악성코드는 아래 정보들을 확인하고, 한 가지라도 충족되면 자신의 프로세스를 종료한다.

=

- GetSystemMetrics API를 활용한 스크린 화면 확인 기능 (현재 스크린의 가로축이 1027보다 작을 경우)

- GetSystemInfo API를 활용한 CPU 코어 수 확인 기능 (CPU 코어 수가 1개일 경우)

- 레지스트리 키 정보를 참고하여 CPU 이름이 “Xeon”일 경우 자신을 종료

- GlobalMemoryStatusEx API를 활용한 물리 메모리 확인 기능 (물리 메모리가 2GB 보다 작을 경우)

 

샌드박스 환경을 확인하고 나면, 사용자 PC에서 다음과 같은 정보들을 유출하여 Zip 파일로 압축 후 C&C 서버에 전송한다.

- 브라우저 패스워드 정보

- 웹 브라우저 쿠키 정보

- 가상화폐 관련 지갑 정보

- 사용자 PC 바탕화면 캡처 이미지

- PC의 CPU, RAM, OS, 키보드 레이아웃 정보

- 설치된 소프트웨어 목록

 

  

[그림 7] 안티 샌드박스 기능

 

이와 같은 피싱 사이트의 특징은 해당 사이트에 업로드된 다른 유틸리티(Adobe Photoshop CC 2020, DLL Files Fixer 등)의 크랙 버전도 모두 같은 악성코드 유포지로 리다이렉트 된다는 점이다. 즉, 최종적으로 실행되는 악성코드가 모두 동일한 것이다.

 

이번 글에서 다룬 피싱 사이트 외에도 정보 유출형 악성코드를 유포하는 피싱 사이트의 변형이 굉장히 많은 것으로 추정된다. 일반 사용자는 불법 크랙 프로그램 사이트 접속을 자제하고 정상 소프트웨어 사용을 지향해야 한다.

 

현재 안랩 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지 및 차단하고 있다.

 

[파일진단]

Dropper/Win32.AutoIt (2020.11.09.02)

 

[행위진단]

Malware/MDP.Injection.M3495

 

[IOC]

<파일>

0893CE760326613FFE3E60098780C393

 

<피싱 사이트>

piratesfile.com

haxpc.net

free4pc.org

hmzapc.com

 

<C&C 주소>

http[:]//kirraadd03.top/index.php

 

이번 피싱 사이트를 통한 악성코드 유포에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기

 

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.