새로운 코로나바이러스 랜섬웨어, Kpot 인포스틸러의 껍데기 역할 해

New CoronaVirus Ransomware Acts as Cover for Kpot Infostealer

CoronaVirus라는 새로운 랜섬웨어가 WiseCleaser의 최적화 소프트웨어 및 유틸리티를 홍보하는 것으로 위장한 가짜 웹사이트를 통해 배포되었습니다.

코로나19 바이러스에 대한 불안과 걱정이 커짐에 따라, 한 공격자는 코로나바이러스 랜섬웨어와 Kpot 인포 스틸링 트로이목마로 구성된 악성코드 칵테일을 배포하는 캠페인을 진행하고 있었습니다.

코로나바이러스 랜섬웨어, 가짜 WiseCleaner 사이트 통해 배포돼

공격자는 악성코드 배포를 위해 합법적인 윈도우 시스템 유틸리티 사이트인 WiseCleaner.com으로 위장한 가짜 웹사이트를 생성했습니다.

<가짜 WiseCleaner 사이트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

이 사이트의 다운로드는 활성화되어 있지 않은 상태이지만, 코로나바이러스 랜섬웨어와 패스워드 스틸링 트로이목마인 Kpot 다운로더 역할을 하는 WSHSetup.exe 파일이 배포되었습니다.

이 프로그램이 실행되면 원격 웹사이트로부터 다양한 파일을 다운로드하려 시도합니다. 현재 이 중 file1.exe와 file2.exe만 다운로드 가능한 상태입니다.

<인스톨러가 다운로드하는 악성코드>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

인스톨러가 다운로드하는 첫 번째 파일은 ‘file1.exe’이며 이는 Kpot 패스워드 스틸링 트로이목마입니다.

실행될 경우 웹 브라우저, 메시징 프로그램, VPN, FTP, 이메일 계정, 스팀/배틀넷 등 게이밍 계정 및 기타 서비스의 쿠키와 로그인 크리덴셜을 훔치려 시도합니다.

이 악성코드는 활성화된 데스크톱의 스크린샷을 촬영하고 감염된 컴퓨터에 저장된 가상 화폐 지갑을 훔치려 시도합니다.

이후 이 정보는 공격자가 운영하는 원격 사이트로 전송됩니다.

두 번째 파일인 file2.exe는 코로나바이러스 랜섬웨어로 컴퓨터 내 파일을 암호화합니다.

코로나바이러스 랜섬웨어는 아래 확장자를 포함하는 파일만을 노립니다.

.bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old

암호화된 파일은 이전의 확장자를 그대로 유지하지만, 파일명은 공격자의 이메일 주소로 변경됩니다. 예를 들어 test.jpg가 암호화될 경우 'coronaVi2022@protonmail.ch___1.jpg'.로 이름이 변경됩니다.

일부의 경우 아래와 같이 파일 이름에 이메일 주소가 여러 번 붙습니다.

<코로나 바이러스로 암호화된 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

암호화된 파일이 저장된 각 폴더에는 랜섬노트인 CoronaVirus.txt가 생성됩니다. 이는 0.008 (~$50)비트코인을 하드코딩된 비트코인 주소인 bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j로 보낼 것을 요구합니다. 이 주소를 조회결과 아직까지 돈을 지불한 사람은 없었습니다.

<코로나바이러스 랜섬 노트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

이 랜섬웨어는 C: 드라이브의 이름을 CoronaVirus로 변경합니다. 이는 그저 피해자를 놀라게 할 목적인 것으로 보입니다.

<C: 드라이브 이름 변경>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

재부팅 후에는 아래와 같이 윈도우가 로딩되기 전 랜섬노트와 동일한 내용이 화면에 표시됩니다.

<코로나바이러스 MBRLocker 컴포넌트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

SentinelLabs 대표인 Vitali Kremez는 공격자가 화면을 표시하기 위해 부팅 시 윈도우 서비스를 로드하기 전 %Temp% 폴더에서 실행 파일을 실행하는 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager "BootExecute" 레지스트리 값을 변경하는 방식을 사용한다고 밝혔습니다.

<수정된 BootExecute 키>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

45분 후 잠금화면의 메시지가 변경됩니다. 하지만 여전히 시스템으로 다시 돌아가기 위한 코드를 입력할 수는 없는 상태입니다.

<변경된 MBRLocker 스크린>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/>

15분 후 이는 윈도우로 다시 부팅되며 로그인 시 CoronaVirus.txt 랜섬노트를 표시합니다.

비교적 낮은 랜섬머니를 요구하며 정적 비트코인 주소를 사용하며 정치적인 메시지를 표시하는 것으로 볼 때 이 랜섬웨어는 금전이 목적이 아닌 Kpot 감염의 껍데기 역할을 담당하는 것으로 의심됩니다.

“미 대통령 선거에 대한 기부금은 24시간 허용됩니다.”

BleepingComputer는 패스워드, 쿠키, 가상 화폐 지갑 등을 훔치기 위해 Kpot 인포 스틸링 트로이목마가 설치되었다는 사실을 사용자가 알지 못하도록 하기 위해 이 랜섬웨어 컴포넌트를 이용했다고 추측했습니다.

이 공격에 피해를 입은 사용자들은 즉시 다른 컴퓨터를 통해 모든 온라인 계정의 패스워드를 변경하는 것이 좋습니다.

현재 알약에서는 해당 악성코드들에 대해 Trojan.Agent.Zenpak, Trojan.Ransom.MBRlock, Trojan.Stealer.Kpot로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/new-coronavirus-ransomware-acts-as-cover-for-kpot-infostealer/