분석 정보/랜섬웨어 분석 정보

Discord Nitro 월정액 서비스를 요구하는 랜섬웨어 (Nitro 랜섬웨어)

 

최근 새롭게 등장한 “Nitro” 랜섬웨어는 일반적인 랜섬웨어와 달리 9.9달러에 달하는 Discord Nitro 서비스 정액권을 랜섬머니로 요구한다.

Discord Nitro 서비스란 Discord 내에서 사용할 수 있는 다양한 이모티콘을 추가적으로 이용할 수 있고, 대용량 파일 업로드 기능을 지원하는 서비스다. 또한, 해당 랜섬웨어는 이러한 서비스를 무료로 사용할 수 있는 툴로 위장하여 유포되고 있다.

Nitro” 랜섬웨어는 감염된 사용자의 Discord 토큰과 PC 정보를 탈취하고, 특정 경로의 파일을 암호화한다. 하지만 암호화된 파일의 복호화 키를 텍스트 파일에 저장하기 때문에 랜섬머니를 지불하지 않고도 파일의 복구가 가능하다.

 

Nitro” 랜섬웨어는 암호화 이전에 PC를 재부팅 할 때 자동으로 악성 동작을 실행할 수 있도록 레지스트리에 등록한다.

 

[그림 1] Nitro 랜섬웨어 레지스트리 등록

 

다음으로 사용자의 PC 정보와 Discord가 설치된 경로에서 토큰 정보가 담긴 “.ldb” 확장자 파일을 검색하여 Discord 토큰을 탈취한 후 공격자의 Discord 서버에 탈취한 PC 정보와 Discord 토큰을 전송한다.

이때, 탈취한 사용자의 Discord 토큰을 통해 계정에 로그인하여 해당 계정을 이용할 수 있기 때문에 추가적인 피해가 예상된다.

또한, 웹 훅을 통해 공격자가 원격으로 명령어를 이용해 감염된 PC를 제어할 수 있는 백도어 기능이 존재한다. 하지만 해당 샘플에서는 사용자 PC UUID 정보를 확인하는 명령어를 이용해 정보를 탈취하는 동작에만 이 기능이 사용된다.

 

[그림 2] 공격자의 디스코드로 전송된 사용자 정보 및 토큰

 

탈취된 정보 전송을 마치면 감염된 PC “Documents”, “Picture”, “Desktop” 경로에 있는 모든 파일을 암호화하고, 암호화가 완료된 파일은 “.givemenitro”라는 확장자로 변경된다.

 

[그림 3] 암호화 결과

 

또한, 사용자 PC의 바탕화면을 [그림 4]와 같이 화난 Discord 아이콘으로 변경하고, 랜섬노트를 띄운다.

 

[그림 4] 변경되는 바탕화면

 

Nitro” 랜섬웨어는 Discord Nitro 구독 서비스 월정액을 구매하면 제공되는 코드를 랜섬머니로 요구한다. Discord Nitro 서비스 코드 구매 후 랜섬노트 창에 입력하면 암호화된 파일을 복구할 수 있는 복호화 키가 지급된다.

 

[그림 5] 랜섬 노트

 

랜섬머니로 요구하는 Discord Nitro 구독 서비스 월정액권은 Discord 공식 홈페이지에서 9.99 달러에 판매하고 있다.

 

[그림 6] Discord 공식 홈페이지에서 판매중인 Nitro 구독 서비스

 

해당 랜섬웨어는 “%TEMP%” 경로에 복호화 키 값을 저장한 “NR_decrypt.txt” 파일을 드랍한다. 따라서 “Nitro” 랜섬웨어는 랜섬머니를 지불하지 않아도 해당 텍스트 파일에 저장된 복호화 키를 이용해 복호화가 가능하다.

 

[그림 7] 저장된 복호화 키 값을 이용해 복호화 성공

 

이번 보고서에서 알아본 “Nitro” 랜섬웨어는 무료 Discord Nitro 월정액 서비스 툴로 위장하여 유포되었다. 해당 랜섬웨어가 요구하는 랜섬머니는 비교적 소액인 9.99달러에 달하는 Discord Nitro의 선물 코드이지만 사용자는 랜섬머니를 지불하지 말고, 사용자 PC “%TEMP%\NR_decrypt.txt” 파일에 저장된 복호화 키를 확인하여 암호화된 파일을 복구할 것을 권장한다. 또한, 사용자의 Discord 토큰이 탈취되었기에 Discord 비밀번호를 변경하여 추후에 발생할 피해에 대비하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기