어벤저스 엔드게임 토렌트 파일로 위장한 Bladabindi 악성코드

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

토렌트 파일로 위장한 악성 파일이 발견되었습니다. 해당 파일은 최근 이슈였던 어벤저스 엔드게임 파일인 것처럼 위장하여 사용자를 속였습니다.

ESRC에서는 어벤저스 엔드게임 영화가 영화관에서 내려가는 시점에서 영화를 보고 싶은 사용자들이 토렌트로 영상을 검색할 것을 염두 해 해당 피싱 파일을 유포한 것으로 추측하고 있습니다.

이번에 발견된 악성 파일은 "Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent"라는 이름으로 유포되었으며, torrent 파일인 것처럼 위장했지만 실제로는 악성 실행파일입니다.

[그림 1] 토렌트 파일을 사칭한 악성 실행파일

공격자는 유니코드 확장자 변조 기능(RTLO, Right-To-Left-Override)을 사용하여 확장자를 다른 형태로 보이도록 변조하였습니다.

[그림 2] 유니코드 확장자 변조로 변경된 확장자명

파일 속성값에서 상세 내용을 확인해 보지 않는다면, 일반 사용자들은 해당 파일을 torrent 파일로 착각해 쉽게 악성코드에 감염될 수 있습니다.

이번에 발견된 어벤저스 엔드게임 파일은 실제는 exe scr 파일이지만, 공격자는 유니코드 확장자 변조 기법을 사용하여 "rcs.torrent"로 확장자를 변경하였습니다.

악성코드 분석

토렌토 파일로 위장된 악성 코드가 실행되면 %temp% 경로 아래에 %temp%.exe 이름으로 악성코드를 드롭합니다.

드롭된 악성코드는 Bladabindi 악성코드로 자기 자신을 자동 실행하도록 등록한 후, 키로깅 및 봇 기능을 수행합니다. 

봇 기능 중 주요한 행위로는 가상 화폐 지갑 탈취, 클립보드 데이터 탈취, 랜섬웨어 실행, Slowloris DDoS 공격 수행 등 다양한 기능이 있습니다. 

[그림 3]의 키로깅 코드는 사용자의 키보드 데이터를 수집한 후 "bom1004.codns.com"으로 수집된 정보를 전송합니다.

[그림 3] 키로깅 코드

아래의 코드는 봇 기능 중 랜섬웨어와 Slowloris DDoS 공격을 수행하는 코드로 전달받은 명령어에 따라 사용자의 파일을 암호화하거나 다른 호스트에 Slowloris DDoS 공격을 수행합니다.

[그림 4] 랜섬웨어 코드

[그림 5] Slowloris DDoS 코드

이번에 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성파일에 대해 'Trojan.MSIL.Bladabindi'로 탐지 중에 있습니다.