'저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

작년부터 Venus Locker 랜섬웨어를 유포한 공격자가 최근에는 ‘저작권법 위반되는 그림을 이용 중이십니다.(제작자 무동의)’ 라는 제목으로 이메일을 유포하고 있습니다. 

이 공격자들은 기존에도 ‘교육 일정표’ 확인, 쇼핑몰에서 유출된 ‘고객 개인 정보 리스트’, ‘해외 배송 관련 안내’, ‘eFINE 교통범칙금 인터넷 납부’ 등 사용자들이 현혹할 만한 제목으로 위장하였고, 이번에는 ‘저작권법 위반’으로 모네로(Monero) 가상 화폐 채굴 기능을 포함하여 유포 중입니다.

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

메일은 법적 조치는 하지 않을 테니 저작권에 접촉되는 그림을 확인해 달라는 내용으로 사용자로 하여금 확인을 하도록 유도하는 내용을 담고 있습니다.

[그림 1] 저작권법 위반 그림 사용 알림 메일 내용

메일에 첨부된 파일 '이미지도용.egg'에는 바로가기 파일 3개와 실행파일 1개가 있습니다. 만일 저작권에 위배된 이미지를 확인하고자 실행 파일 대신 바로가기 파일을 실행할 경우 'laptop.exe' 실행 파일이 실행됩니다.

[그림 2] 메일에 첨부된 파일과 바로가기 파일 속성

바로가기 파일에 의해 실행되는 'laptop.exe' 악성코드는 닷넷(.NET)로 제작되어 있으며, 자기 자신을 프로세스로 생성한 뒤, 인젝션하여 실행 합니다. 

[그림 3] 자기 자신을 실행한 뒤 인젝션하는 코드

인젝션된 프로세스는 시스템 재부팅시 자동 실행을 위해 자가 복제 및 자동 실행 등록합니다. 

※ 자가 복제 경로

C:\Users\(사용자 계정)\AppData\Local\PbAtltgPMQ\csrss.exe

※ 자동 실행 경로

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

GuiFGiJTly = "C:\Users\(사용자 계정)\AppData\Local\PBATLT~1\csrss.exe"

이후 운영체제 환경에 따라 32비트에서는 wuapp.exe / svchost.exe, 64비트에서는 notepad.exe / explorer.exe에 XMRig 2.4.2 버전의 모네로 채굴기를 인젝션하여 실행합니다. 인젝션 간 채굴기 동작에 필요한 인자를 전달하는데 그 내용은 다음과 같습니다.

"C:\Windows\System32\wuapp.exe" -o xmr.pool.minergate.com:45560 -u sd002@protonmail.com -p x -v 0 -t 1"

최근 가상 화폐 시세의 급등락과 함께 비트코인 채굴을 하는 악성코드들이 많이 확인되고 있습니다. 따라서 이용자들은 출처를 확인할 수 없는 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가주시기 바랍니다.

현재 알약에서는 'Trojan.Downloader.LnK.Gen' 등으로 진단하고 있습니다.