최근 불법 복제 프로그램으로 위장해 유포 중인 “Vigilante” 악성코드가 발견됐다. 해당 악성코드는 호스트 파일을 수정해 토렌트 파일을 공유하는 사이트인 “The Pirate Bay” 등을 차단하며, 실행 과정에서 악성코드를 추가로 다운로드 받아 정보를 탈취한다.
“Vigilante” 악성코드는 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord) 또는 토렌트를 통해 유포된 것으로 알려졌으며, 유포된 파일을 다운로드한 후 압축을 해제하면 [그림 1]과 같이 파일을 생성한다.
추가로, “Vigilante” 악성코드가 위장한 유명한 게임 또는 소프트웨어는 [그림 2]와 같다.
Vigilante 악성코드
“Vigilante” 악성코드를 실행하면 호스트 파일에 불법 복제 소프트웨어 사이트 도메인을 추가하고, 추가한 도메인의 IP 주소를 127.0.0.1로 변경해 접속을 차단한다.
호스트 파일을 변조한 후, [그림 4]와 같이 ‘MSVCR100.dll을 찾지 못한다’라는 내용의 에러 메시지를 출력하지만 해당샘플의 동작과는 관련이 없다.
마지막으로 공격자의 C&C 서버에 연결을 시도하지만 분석 시점에서는 연결되지 않는다.
만약, 공격자의 C&C 서버와 연결하면 “Ficker Stealer”로 불리는 악성코드를 다운로드 받아 실행한다.
Ficker Stealer 악성코드
다운로드한 파일은 [그림 7]과 같이 IP 확인 사이트인 ipify로 연결해 감염 환경의 IP 주소를 획득한 후, ‘C:\ProgramData\kaosdma.txt’에 저장한다.
그 후, 인터넷 연결 여부의 확인을 완료하면 감염 환경의 PC, 브라우저 및 암호화폐 등의 정보를 수집해 공격자의 C&C 서버로 전송한다. 하지만 분석 시점에서는 연결되지 않는다.
“Ficker Stealer” 악성코드에 대한 자세한 정보는 자사 블로그에 게시한 글에서 확인할 수 있다.
▶ 2021.04.28 - 위장된 사이트를 통해 유포되는 Ficker Stealer
최근 불법 복제 프로그램으로 위장해 사용자의 실행을 유도한 후, 정보를 탈취하는 악성코드가 발견되고 있으니 주의가 필요하다. 따라서 출처가 불분명한 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| LastConn 악성코드를 유포하는 Molerats 해커 그룹 (0) | 2021.06.28 |
|---|---|
| 새롭게 등장한 MaaS, Matanbuchus Loader (0) | 2021.06.28 |
| GO 언어로 제작된 악성코드 Klingon RAT (0) | 2021.06.25 |
| 다양한 방법으로 유포된 RedLine Stealer 악성코드 (0) | 2021.06.21 |
| 제로데이 취약점을 사용한 PuzzleMaker (0) | 2021.06.18 |