2024-03-19 17:00 (화)
타깃 PC가 가상화폐 채굴과 랜섬웨어 공격에 적합한지 알아내는 악성코드 등장
상태바
타깃 PC가 가상화폐 채굴과 랜섬웨어 공격에 적합한지 알아내는 악성코드 등장
  • 길민권 기자
  • 승인 2018.07.10 17:54
이 기사를 공유합니다

broken-business-2237920_640.jpg
가상화폐 채굴기와 랜섬웨어 중 어떤 것이 더 수익성이 좋을지 판단한 후 시스템을 감염시키는 악성코드가 발견됐다. 타깃의 PC 상황에 맞게 공격하겠다는 것이다.

불특정 다수를 타깃으로 돈벌이를 하기 위한 사이버 공격이 기승을 부리고 있다. 대표적으로 랜섬웨어는 피해자의 PC내부 데이터를 암호화 시킨 후 가상화폐를 지불하면 복호화시켜 주겠다고 협박해 돈을 뜯어내는 공격이다. 반면 가상화폐 채굴기는 감염 된 시스템의 CPU 파워를 활용해 가상화폐를 채굴한다.

따라서 랜섬웨어 공격시 사용자 PC에 중요한 데이터가 없다면 돈을 받아낼 확률이 떨어진다. 이럴때 공격자는 타깃 PC를 활용해 가상화폐를 캐내는 쪽으로 공격 방식을 변경하게 된다.

최근 카스퍼스키랩 연구원들이 Rakhni 랜섬웨어 패밀리의 새로운 변종을 발견했다. 델파이 프로그래밍 언어로 작성 된 이 Rakhni 악성코드는 MS워드 파일을 첨부한 스피어 피싱 이메일을 통해 배포 되고 있다. 파일이 오픈 되면, 피해자에게 문서를 저장하고 편집을 활성화하라고 안내한다.

이 문서는 PDF 아이콘을 포함하고 있다. 이를 클릭하면 피해자의 컴퓨터에서 악성 실행파일을 실행하고 가짜 에러 메시지 창을 표시해 피해자가 문서를 여는데 필요한 시스템 파일이 누락 되었다고 생각하게 만든다.

하지만 악성코드는 백그라운드에서 안티 VM 및 안티 샌드박스 검사를 수행해 발각 되지 않고 시스템을 감염시킬 수 있을지 여부를 확인한다. 조건을 만족하면 최종 페이로드를 랜섬웨어로 할 것인지 채굴기로 할 것인지 결정하기 위한 추가 확인을 하는 것이다.

공격자는 타깃 시스템의 AppData 섹션에 ‘Bitcoin’ 폴더가 있을 경우 랜섬웨어를 설치한다. RSA-1024 암호화 알고리즘을 이용해 파일을 암호화 하기 전, 악성코드는 미리 정의 된 인기있는 프로그램의 목록과 매칭 되는 모든 프로세스를 종료시킨 후 텍스트파일 랜섬노트를 표시한다.

한편 ‘Bitcoin’ 폴더가 존재하지 않고, 기기에 두 개 이상의 논리 프로세서가 있을 경우 가상화폐 채굴기를 설치한다. 시스템이 가상화폐 채굴기에 감염 되면, MinerGate 유틸리티를 사용해 모네로(XMR), 모네로 오리지널(XMO), 대시코인(DSH) 가상화폐를 백그라운드에서 채굴하게 된다.

이 외에도, 악성코드는 CertMgr.exe 유틸리티를 사용해 마이크로소프트와 어도비에서 발생했다고 주장하는 가짜 루트 인증서를 설치한다. 이는 채굴기를 신뢰할 수 있는 프로세스로 위장하기 위한 시도인 것으로 파악된다.

또 만약 ‘Bitcoin’ 폴더가 없고 논리 프로세서가 하나만 있을 경우 웜 컴포넌트를 활성화한다. 이 컴포넌트는 악성코드가 공유 리소스를 사용하는 로컬 네트워크 상의 모든 컴퓨터에 자기자신을 복사할 수 있도록 한다.

감염 형태와 관계 없이, 악성코드는 나열 된 안티바이러스 프로세스가 실행 될 경우 검사를 수행한다. 시스템에서 AV 프로세스가 발견되지 않으면, 악성코드는 몇 개의 cmd 커맨드를 실행해 윈도우 디펜더를 비활성화하려고 시도한다. 스파이웨어 기능도 포함 되어 있다.

해외 보안연구원 “또 다른 흥미로운 사실은 이 악성코드가 스파이웨어 기능도 포함하고 있다는 것이다. 메시지에는 실행 중인 프로세스 목록과 스크린샷 첨부파일이 포함 되어 있었다”고 설명했다.

이 악성코드는 주로 러시아 (95.5%)의 사용자들을 노리고 있었으며, 카자흐스탄 (1.36 %), 우크라이나 (0.57 %), 독일 (0.49 %) 및 인도 (0.41 %)에서도 감염자가 발견됐다.

이스크시큐리티 관계자는 "이러한 공격으로부터 피해를 입지 않으려면, 이메일에 포함 된 의심스러운 파일이나 링크를 절대 오픈해서는 안된다. 또한 적절한 백업 루틴을 유지하고 안티 바이러스 소프트웨어를 항상 최신으로 유지하는 것이 필요하다"고 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★