웹 브라우저 업데이트로 위장한 RedEnergy 스틸러
웹 브라우저 업데이트로 위장해 “RedEnegy” 스틸러를 유포하는 캠페인이 발견됐다. 주요 대상은 브라질과 필리핀의 산업 분야이며, 공격자는 대상 산업의 홈페이지 링크를 리다이렉션해 가짜 사이트로 접속을 유도한다. 해당 사이트는 웹 브라우저 업데이트가 필요하다는 메시지와 함께 다운로드 링크를 제공한다. “RedEnergy” 스틸러는 해당 링크에서 다운로드 되며, 실행 시 감염 PC에서 정보를 탈취한다. 또한, 파일을 암호화하고 파일 복구를 빌미로 랜섬머니를 요구하는 랜섬웨어의 동작도 수행한다.
“RedEnergy” 스틸러를 실행하면, 임시 폴더에 2개의 파일을 드롭한다. 하나는 실제로 웹 브라우저를 업데이트하는 정상 파일이고, 다른 하나는 악성 동작을 수행하는 악성코드이다.
- 파일명 : tmp[4자리 랜덤 문자열].exe
웹 브라우저의 업데이트 동작을 보여주며 백그라운드에서 악성 동작을 수행한다.
실행된 악성코드는 먼저 1차 암호화를 진행하며, 파일명에 “[.FACKOFF!]” 확장자를 추가한다.
1차 암호화 대상은 [표 1]의 암호화 제외 폴더를 제외한 경로에서 1차 암호화 대상 확장자를 지닌 파일이다.
1차 암호화를 완료한 후, [표 2]의 레지스트리를 수정 또는 추가해 윈도우 디펜더와 스마트 스크린을 비활성화한다. 또한, “Explorer”의 UAC를 해제한다.
이후, ‘cdn.discordapp.com’에 연결해 최종 페이로드를 수행할 추가 악성코드를 다운로드한다.
또한, ‘cdn.discordapp.com’에서 악성코드 다운로드를 실패할 경우를 대비해 FTP를 이용해 같은 악성코드를 다시 다운로드 한다. 단, 현재는 서버에 해당 파일이 존재하지 않아 다운로드할 수 없다.
다운로드된 악성코드는 탈취할 정보를 수집한다. 암호화폐 지갑 정보 수집은 [표 5]를 포함한 56개의 지갑을 대상으로 진행하며, ‘%AppData%’ 폴더와 레지스트리 값을 검색해 관련 정보가 있는지 확인하고 정보를 지정된 경로로 복사한다.
또한, 웹 브라우저에서 북마크, 쿠키, 로그인 및 신용카드 정보 등을 추출하여 수집한다.
추가로, VPN, Messenger 및 FTP 등의 프로그램 정보를 수집하고, 텔레그램을 이용해 수집한 정보를 전송한다.
정보 전송을 완료한 후, [표 6]의 명령어로 볼륨 섀도우 복사본과 윈도우 백업 카탈로그를 삭제해 시스템 복원을 무력화한다.
이후, 2차 파일 암호화를 진행하며, 암호화된 파일은 파일명에 “.[4자리 랜덤 문자열]” 확장자를 추가한다.
2차 암호화는 [표 2]의 암호화 제외 폴더를 제외한 경로에서 [표7]을 포함한 229개의 확장자를 지닌 파일을 대상으로 한다.
단, [표 8]의 파일은 2차 암호화 대상에서 제외한다.
암호화가 끝나면, “read_it.txt”라는 이름으로 [그림 7]의 랜섬노트를 생성한다.
마지막으로, 랜섬노트의 내용이 담긴 사진으로 바탕화면 배경을 변경해 사용자에게 랜섬웨어 감염 사실을 알린다.
“RedEnergy” 스틸러는 감염된 PC에서 민감한 정보를 탈취하고, 추가로 파일을 암호화해 치명적인 피해를 입을 수 있어 주의가 필요하다. 따라서, 정식 홈페이지가 아닌 사이트에서의 파일 다운로드를 지양하고, 백신 프로그램의 실시간 감시 활성화와 항상 최신 버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.