최근 다크웹 포럼에서 암호화폐를 훔치기 위한 목적의 악성코드 판매 정황이 발견됐다. 해당 악성코드는 사용자가 복사 및 붙여 넣기 기능을 사용할 때 클립보드에 저장된 데이터를 공격자가 지정한 데이터로 변경한다.
“ClipBanker” 악성코드는 러시아어를 사용하는 다크웹 포럼에서 25 달러의 가격에 판매되고 있다.
먼저, “ClipBanker” 악성코드는 파일을 자가 복제해 숨김 속성으로 설정한 후, 지속적인 실행을 위해 작업 스케줄러에 등록한다.
해당 악성코드에서 사용하는 C&C 서버 주소나 공격자 암호 화폐 지갑 등의 정보는 리소스 섹션에 저장됐으며, 해당 정보를 디코딩하면 [그림 2]와 같이 악성코드에서 사용할 정보를 확인할 수 있다.
"ClipBanker" 악성코드가 실행 중일 때 사용자가 복사한 내용 중 이메일, URL 및 암호 화폐 지갑 주소의 형식이 있는지 확인한다. 이 과정에서 이메일의 경우 “@”와 “.” 문자가 있는지 확인하고 URL은 IsValidURL API를 사용해 문자열의 유효성 여부를 검증한다. 또한, 암호 화폐 지갑 주소는 Dogecoin, Bitcoin 및 Ethereum 등 공격자가 사전에 만들어둔 암호 화폐 지갑 주소의 키워드와 조건이 맞는지 확인한 후, 최종적으로 앞서 언급한 리소스 내용에 있는 공격자의 데이터를 기반으로 클립보드를 변경한다.
추가로, 공격자가 운영하는 C&C 서버와의 연결을 시도해 서버의 응답 여부에 따라 클립보드 데이터를 교체한다.
하지만, [그림 5]와 같이 분석 시점에서는 연결되지 않았다.
최근, 암호화폐 탈취 등을 위해 클립보드를 변경하는 악성코드가 발견되고 있어 주의가 필요하다. 따라서 복사 및 붙여 넣기를 사용하는 경우에는 붙여 넣은 데이터가 원본이 맞는지 확인해야 한다. 또한, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 인기 프로그램 크랙버전으로 위장하여 유포되는 PrivateLoader 캠페인 (0) | 2022.03.22 |
|---|---|
| 우크라이나에 가해지는 위협적인 사이버 공격 (0) | 2022.03.22 |
| 중동을 대상으로 공격하는 Molerats 해커 그룹 (0) | 2022.02.17 |
| 파키스탄 APT 그룹 SideCopy의 새로운 정보 탈취 악성코드 등장 (0) | 2022.02.15 |
| 인도의 군사 및 외교 분야를 대상으로 공격하는 Crimson RAT (0) | 2022.01.28 |