분석 정보/악성코드 분석 정보

Notepad++ 설치 파일로 위장한 StrongPity 악성코드

알 수 없는 사용자 2021. 12. 17. 17:12

최근 Notepad++의 설치 파일로 위장한 악성코드가 발견됐다. 해당 악성코드는 사용자 PC에 정상 Notepad++를 설치하고, 사용자가 키보드로 입력한 값을 파일로 저장해 공격자에게 전송한다. 또한, 정상 소프트웨어에 악성코드를 추가하는 방식을 주로 사용하는 StrongPity라는 그룹에서 유포한 것으로 알려졌다.

 

StrongPity 그룹에서 유포한 악성코드는 [그림 1]과 같이 진행한다.

 

[그림 1] Notepad++ 로 위장한 악성코드 실행 흐름도

 

1. Notepad++ 설치 파일로 위장한 파일을 실행하면 지정된 경로에 Notepad++ 설치 파일과 Winpickr.exe ntuis32.exe 파일을 드롭한다.

2. Notepad++ 설치 파일을 실행해 사용자 PC에 정상 프로그램인 Notepad++ v8.1.7을 설치한다.

3. 다음으로, update 문자열을 인자 값으로 사용해 Winpickr.exe를 실행한다.

4. Winpickr.exePickerSrv란 이름의 서비스를 등록해 사용자가 재부팅을 하더라도 자동 실행하도록 설정한다.

5. 서비스 등록 후, 키로깅 동작을 하는 ntuis32.exe 파일을 실행한다.

6. 키로거 악성코드는 사용자가 키보드로 입력한 값을 가로채 로그 파일로 저장한다.

7. 마지막으로 키보드 입력 값을 작성한 로그 파일을 공격자가 운영하는 C&C 서버로 전송한다.

 

 

Notepad++ 설치 파일로 위장한 파일을 실행하면 정상 Notepad++와 키보드 입력 정보를 수집하고, 해당 정보를 공격자에게 전송하기 위한 악성코드를 [그림 2]와 같이 사용자 PC에 설치한다.

 

[그림 2]  설치 파일 목록

 

Notepad++ 설치 파일로 위장한 파일의 설치 경로는 [1]과 같다.

 

[표 1] 설치 파일 정보

 

다음으로, 설치 파일 중 winpickr.exeupdate란 인자를 사용해 실행하며, 지속적인 동작을 위해 [1]과 같이 PickerSrv란 이름의 서비스를 등록한다.

 

[표 2] 서비스 등록 정보

 

이후, [그림 2]의 단계에서 설치한 ntuis32.exe를 실행해 사용자가 키보드로 PC에 입력한 내용을 가로챈 후, [그림 3]과 같이 저장한다.

 

[그림 3] 키로깅 악성코드 및 로그 파일

 

마지막으로 키보드로 입력한 내용을 저장한 파일은 공격자에게 전송하고, 전송을 완료한 파일은 삭제한다.

 

[그림 4] 네트워크 연결 및 파일 삭제 코드

 

 

최근 정상 프로그램의 설치 파일로 위장해 악성코드를 유포하고, 사용자 몰래 정보를 탈취하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면