분석 정보/악성코드 분석 정보

[악성코드 분석]유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의

TACHYON & ISARC 2018. 10. 18. 09:50

유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의

1. 개요

Epic Games 社에서 개발한 유명 게임 포트나이트가 새로운 시즌을 맞이하면서, 이와 관련된 악성 파일 유포도 활발해지고 있다. 이전부터 포트나이트 치팅 프로그램으로 위장한 악성 프로그램은 많았지만 대부분 게임 아이디, 패스워드, 등의 정보를 수집하는 정도였다. 이번에 발견된 샘플은 비트코인 지갑 등 민감한 정보를 다수 수집하기 때문에 특히 주의가 필요하다.

 

이번 보고서에서는 포트나이트 치팅 프로그램으로 위장한 프로그램의 악성 동작에 대해 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

HyperCheats by eblanich hack (work).exe

 파일크기

171,520 bytes

 진단명

Downloader/W32.InfoStealer.171520

 악성동작

PC 정보 탈취

 

 

2-2. 유포 경로

해당 프로그램은 유튜브 영상에 덧붙인 링크를 통해 다운로드를 유도한 것으로 알려져 있으며, 해당 영상은 삭제된 상태이다.

 

 

2-3. 실행 과정

먼저 PC의 레지스트리를 참조하여 MachineGuid(:윈도우 설치시 생성되는 고유식별자) 를 알아낸 후 암호화하여 공격자 서버로 송신한다. 이에 공격자 서버는 악성 동작에 필요한 DLL 파일을 다수 전송한다. 이후 사용자 PC를 탐색하며 특정 브라우저 및 프로그램의 설치 여부를 확인하고 사용자 정보와 관련된 민감한 정보를 수집한다. 수집한 정보는 피해자 PC에 설치된 프로그램, 시스템 정보와 함께 암호화되어 서버로 전송된다.

 

 

 

 

3. 악성 동작

3-1.  DLL 다운로드 및 악성 샘플 중복 실행 방지

해당 샘플은 윈도우 레지스트리를 참조하여 MachineGuid 를 확인한 후, 이를 암호화하여 공격자 서버에 전송한다. 악성 동작을 처음 시도할 경우 서버로부터 악성 행위에 사용되는 DLL 파일을 다운로드 받지만, 재실행 하면 파일을 다운로드하지 않고 프로그램을 종료한다. MachineGuid를 수정한 후 실행하면 다시 다운로드하는 것을 확인할 수 있으며, 이는 동일 PC에서 한 번만 악성 행위를 하기 위한 기능으로 추정된다.

 

 

[그림 1] 악성 동작에 사용되는 DLL 파일[그림 1] 악성 동작에 사용되는 DLL 파일

 

 

 

3-2.  브라우저 정보 수집

DLL 파일 다운로드 후에는 PC 를 탐색하며 [표 1]에 속한 브라우저가 설치되어 있는지 확인한다. 설치된 브라우저를 발견하면 로그인 정보, 쿠키 등 저장된 사용자 정보를 수집한다.

 

구분 

내용 

브라우저

 Internet Explorer, Edge, WaterFox, IceDragon, CyberFox, Pale Moon, Chrome, Yandex, Comodo Dragon, Amigo, Orbitum, Bromium, Chromium, Nichrome, RockMelt, 360 Secure, Vivaldi, Opera, Go, Sputnik, Kometa, Uran, Surf, Epic Privacy, Brave, CocCoc, Cent, 7star, Element, Tor, Suhba, Secure, Mustang, Superbird, Chedot, Torch

 [표 1] 암호화 제외 목록

 

 

 

3-3.  특정 프로그램 정보 수집

또한 PC를 탐색하며 [표 2]에 속한 프로그램의 설치 여부를 확인한 후, 민감한 정보가 저장된 파일 및 레지스트리에 접근하여 정보를 수집한다.

 

프로그램 

 관련 파일 및 레지스트리

기능

 Bit Coin  Wallet.dat, Electrum.dat, *.wallet  가상화폐 지갑 파일
 Outlook

 “HKCU\Software\Microsoft\Office\15.0

 \Outlook\Profiles\Outlook”,
 “HKCU\Software\Microsoft\Office\16.0

 \Outlook\Profiles\Outlook”

 Outlook 사용자 프로파일 정보를 저장한

 레지스트리

 FileZilla  recentservers.xml  Quick Connect 목록 관련 정보
 Telegram  tdata 폴더  세션, 메시지, 이미지, 등 캐시 데이터 저장 폴더
 Steam  Config 폴더  스팀 사용자 정보
 WinSCP  HKCU\Software\Martin Prikryl\WinSCP 2\Sessions  저장된 세션 관련 레지스트리

[표 2] 정보 수집 대상 프로그램 목록

 

 

 

3-4.  수집 정보 암호화 및 송신

마지막으로, 윈도우 버전, 현재 설치된 프로그램 목록, 등 PC 의 시스템 정보를 추가로 수집하고 앞서 수집한 정보와 함께 암호화하여 서버로 전송한다.

 

 

[그림 2] 수집 정보 암호화 패킷[그림 2] 수집 정보 암호화 패킷

 

 

 

 

 

4. 결론

포트나이트는 유명세와 함께 지속적으로 에임 핵, 게임 화폐 생성기와 같은 치팅 프로그램으로 위장한 악성 프로그램이 유포되어왔다. 이렇게 유포된 프로그램은 대부분 치팅 기능 없이 사용자 PC 에 백도어를 설치하거나 정보를 유출 기능만 수행하고 있다. 따라서 건전한 게임 문화와 소중한 데이터를 지키기 위해서라도 치팅 프로그램 사용은 지양해야 할 것이다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면