분석 정보/악성코드 분석 정보

불법 복제 프로그램으로 위장한 Vigilante 악성코드

최근 불법 복제 프로그램으로 위장해 유포 중인 Vigilante 악성코드가 발견됐다. 해당 악성코드는 호스트 파일을 수정해 토렌트 파일을 공유하는 사이트인 The Pirate Bay 등을 차단하며, 실행 과정에서 악성코드를 추가로 다운로드 받아 정보를 탈취한다.

 

 

Vigilante 악성코드는 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord) 또는 토렌트를 통해 유포된 것으로 알려졌으며, 유포된 파일을 다운로드한 후 압축을 해제하면 [그림 1]과 같이 파일을 생성한다.

 

[그림 1] 정상 프로그램으로 위장한 Vigilante 악성코드

 

추가로, Vigilante 악성코드가 위장한 유명한 게임 또는 소프트웨어는 [그림 2]와 같다.

 

[그림 2] 정상 프로그램 위장

 

Vigilante 악성코드

Vigilante 악성코드를 실행하면 호스트 파일에 불법 복제 소프트웨어 사이트 도메인을 추가하고, 추가한 도메인의 IP 주소를 127.0.0.1로 변경해 접속을 차단한다.

 

[그림 3] 호스트 파일 변조

 

호스트 파일을 변조한 후, [그림 4]와 같이 MSVCR100.dll을 찾지 못한다라는 내용의 에러 메시지를 출력하지만 해당샘플의 동작과는 관련이 없다.

 

[그림 4] 에러 메시지 출력



 

마지막으로 공격자의 C&C 서버에 연결을 시도하지만 분석 시점에서는 연결되지 않는다.

 

[그림 5] 네트워크 연결 패킷



 

만약, 공격자의 C&C 서버와 연결하면 Ficker Stealer로 불리는 악성코드를 다운로드 받아 실행한다.

 

[그림 6] 다운로드 파일 생성 및 실행 코드

 

Ficker Stealer 악성코드

다운로드한 파일은 [그림 7]과 같이 IP 확인 사이트인 ipify로 연결해 감염 환경의 IP 주소를 획득한 후, C:\ProgramData\kaosdma.txt에 저장한다.

 

[그림 7] 감염 환경 IP 확인 및 저장

 

그 후, 인터넷 연결 여부의 확인을 완료하면 감염 환경의 PC, 브라우저 및 암호화폐 등의 정보를 수집해 공격자의 C&C 서버로 전송한다. 하지만 분석 시점에서는 연결되지 않는다.

 

[그림 8] 수집 정보 전송 패킷

 

Ficker Stealer 악성코드에 대한 자세한 정보는 자사 블로그에 게시한 글에서 확인할 수 있다.

2021.04.28 - 위장된 사이트를 통해 유포되는 Ficker Stealer

 

 

최근 불법 복제 프로그램으로 위장해 사용자의 실행을 유도한 후, 정보를 탈취하는 악성코드가 발견되고 있으니 주의가 필요하다. 따라서 출처가 불분명한 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면


 

 

댓글

댓글쓰기