PC를 감염시키고 패스워드를 훔치는 ‘코로나 바이러스 맵’ 주의

Beware of 'Coronavirus Maps' – It's a malware infecting PCs to steal passwords

Reason Cybersecurity의 연구원들이 인터넷 사용자들의 코로나 바이러스에 대한 두려움을 악용하는 새로운 공격에 대한 위협 분석 보고서를 공개했습니다.

이 악성코드 캠페인은 코로나19 바이러스의 확산 현황을 보여주는 지도를 미끼로 사용자가 악성 애플리케이션을 다운로드 및 실행하도록 속입니다. 이 악성 애플리케이션은 사용자에게 정식 온라인 소스에서 로드한 맵을 보여주지만 백그라운드에서는 컴퓨터를 해킹합니다.

오래된 악성코드를 이용한 새로운 위협

지난 주 MalwareHunterTeam에서는 부주의한 사용자의 정보를 훔치도록 설계된 새로운 공격을 발견했으며 ReasonLabs의 보안 연구원인 Shai Alfasi가 이를 분석했습니다.

이 공격은 2016년 발견된 인포 스틸링 악성 소프트웨어인 AZORult를 이용합니다. AZORult 악성코드는 쿠키, 브라우징 이력, 사용자 ID 및 패스워드, 암호화 키 등 웹 브라우저에 저장된 정보를 주로 훔칩니다.

사이버 범죄자들은 브라우저에서 추출한 위 데이터를 이용하여 카드 번호, 로그인 자격 증명을 포함한 다양한 민감 정보를 훔쳐낼 수 있게 됩니다.

러시아 포럼에서는 컴퓨터에서 민감 정보를 훔치는 툴로 AZORult가 언급되고 있습니다. 감염된 컴퓨터에서 원격 데스크톱 프로토콜을 통한 연결을 활성화할 수 있는 숨겨진 관리자 계정을 생성하는 것이 가능한 변종이 제공되고 있었습니다.

샘플 분석

Alfasi는 이 악성코드에 대한 기술적 세부 정보를 공개했습니다. 이 악성코드는 보통 ‘Corona-virus-Map.com.exe’라 명명된 파일에 내장된 채 배포됩니다. 이 파일은 작은 Win32 EXE 파일로 페이로드 사이즈는 약 3.26MB밖에 되지 않습니다. 더블클릭하면 코로나19 확산 현황에 대한 많은 정보를 보여주는 창이 뜹니다.

중간 부분에는 존스 홉킨스 대학에서 운영하는 것과 유사한 코로나19 “감염 맵”이 표시됩니다. 이 맵은 실시간으로 코로나19 감염 현황을 보여줍니다.

또한 많은 사람들이 유해하다고 생각할 수 없는 만한 설득력있는 그래픽 UI를 제공합니다. 이들은 랜덤 데이터가 아닌 존스 홉킨스 웹사이트에서 가져온 실제 코로나19 관련 정보를 이용합니다.

참고로 존스 홉킨스 대학이나 ArcGIS에서 제공하는 오리지널 코로나19 맵은 아무런 백도어나 악성코드가 포함되어 있지 않아 방문해도 안전합니다.

감염 징후

Corona-virus-Map.com.exe 파일을 실행하면 Corona-virus-Map.com.exe 파일의 복사본 및 Corona.exe, Bin.exe, Build.exe, Windows.Globalization.Fontgroups.exe 파일이 생성됩니다.

<이미지 출처: https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/>

이 악성코드는 ZoneMap과 LanguageList 아래의 레지스터 다수를 수정합니다. 일부 뮤텍스 또한 생성됩니다.

이 악성코드를 활성화하면 Bin.exe, Windows.Globalization.Fontgroups.exe, Corona-virus-Map.com.exe 프로세스가 생성됩니다. 이들은 URL 다수에 연결하려 시도합니다.

이 프로세스와 URL은 공격에 수반되는 샘플일 뿐입니다. 공격 과정 중 다른 많은 파일이 생성되고 프로세스가 시작됩니다. 악성코드가 다양한 종류의 정보를 수집하려 시도하기 때문에 다양한 네트워크 통신 활동이 발생합니다.

악성코드가 정보를 훔치는 방법

이 악성코드에 대한 Alfasi의 연구 결과 중 가장 눈에 띄는 것은 Ollydbg를 통한 Bin.exe 프로세스 분석 부분입니다. 프로세스는 동적 링크 라이브러리(DLL) 몇 개를 작성했습니다. 그는 "nss3.dll" 파일이 다른 공격자들과 관련이 있다는 점에 주목했습니다.

<출처: https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/>

Alfasi는 nss3.dll과 관련된 API의 정적 로딩 과정을 관찰했습니다. 이 API는 저장된 패스워드를 복호화하고 아웃풋 데이터를 생성하기 위한 것으로 추측됩니다.

이는 데이터 탈취범들이 자주 사용하는 방식입니다. 감염된 웹 브라우저에서 로그인 관련 데이터만 캡처하여 C:\Windows\Temp 폴더로 이동합니다. 이 행위는 AZORult 공격의 특징 중 하나입니다. 데이터를 추출하여 감염된 컴퓨터의 고유 ID를 생성 후 XOR 암호화를 적용한 후 C2 통신을 시작합니다.

이 악성코드는 텔레그램과 스팀 등 온라인 계정의 로그인 데이터를 훔치기 위해 특정 함수를 호출합니다.

악성코드를 실행하는 것은 정보 탈취 프로세스를 시작하기 위해 필요한 유일한 단계입니다. 피해자는 창을 조작하거나 민감 정보를 입력할 필요가 없습니다.

치료 및 예방

기회를 노리는 “코로나 바이러스 맵” 악성코드의 공격을 예방하기 위해서는 적절한 악성코드 보호 시스템을 갖추고 있어야 합니다. 소프트웨어 툴 없이 감염을 제거할 수도 있지만 이를 수동으로 탐지해내는 일은 매우 어렵습니다.

또한 인터넷에서 코로나19 관련 정보를 열람하고 다운로드 시 각별한 주의를 기울여야 합니다.

얼마전 코로나19 사태는 ‘판데믹’으로 선언되었으며, 오프라인 뿐만 아니라 온라인에서도 각별한 주의가 필요합니다. 사이버 공격자들은 코로나바이러스 관련 자료가 인기를 얻는 상황을 악용하고 있어 많은 사용자가 이에 피해를 입을 수 있습니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Wacatac로 탐지중입니다. 

출처 :

https://thehackernews.com/2020/03/coronavirus-maps-covid-19.html

https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/