분석 정보/악성코드 분석 정보

클립보드를 변경하는 ClipBanker 악성코드 발견

알 수 없는 사용자 2022. 3. 7. 10:57

최근 다크웹 포럼에서 암호화폐를 훔치기 위한 목적의 악성코드 판매 정황이 발견됐다. 해당 악성코드는 사용자가 복사 및 붙여 넣기 기능을 사용할 때 클립보드에 저장된 데이터를 공격자가 지정한 데이터로 변경한다.

 

ClipBanker 악성코드는 러시아어를 사용하는 다크웹 포럼에서 25 달러의 가격에 판매되고 있다.

 

[그림 1] 다크웹 포럼 ClipBanker 악성코드 판매 게시글

 

먼저, ClipBanker 악성코드는 파일을 자가 복제해 숨김 속성으로 설정한 후, 지속적인 실행을 위해 작업 스케줄러에 등록한다.

 

[표 1] 작업스케줄러 등록 정보

 

해당 악성코드에서 사용하는 C&C 서버 주소나 공격자 암호 화폐 지갑 등의 정보는 리소스 섹션에 저장됐으며, 해당 정보를 디코딩하면 [그림 2]와 같이 악성코드에서 사용할 정보를 확인할 수 있다.

 

[그림 2] 리소스에 추가된 정보 확인

 

"ClipBanker" 악성코드가 실행 중일 때 사용자가 복사한 내용 중 이메일, URL 및 암호 화폐 지갑 주소의 형식이 있는지 확인한다. 이 과정에서 이메일의 경우 @. 문자가 있는지 확인하고 URLIsValidURL API를 사용해 문자열의 유효성 여부를 검증한다. 또한, 암호 화폐 지갑 주소는 Dogecoin, Bitcoin Ethereum 등 공격자가 사전에 만들어둔 암호 화폐 지갑 주소의 키워드와 조건이 맞는지 확인한 후, 최종적으로 앞서 언급한 리소스 내용에 있는 공격자의 데이터를 기반으로 클립보드를 변경한다.

 

[그림 3] 클립보드 변경 관련 코드

 

추가로, 공격자가 운영하는 C&C 서버와의 연결을 시도해 서버의 응답 여부에 따라 클립보드 데이터를 교체한다.

 

[그림 4] 공격자 C&C 서버 연결 코드

 

하지만, [그림 5]와 같이 분석 시점에서는 연결되지 않았다.

 

[그림 5] 공격자의 C&C 서버 연결 패킷

 

최근, 암호화폐 탈취 등을 위해 클립보드를 변경하는 악성코드가 발견되고 있어 주의가 필요하다. 따라서 복사 및 붙여 넣기를 사용하는 경우에는 붙여 넣은 데이터가 원본이 맞는지 확인해야 한다. 또한, 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면