분석 정보/악성코드 분석 정보

인기 프로그램 크랙버전으로 위장하여 유포되는 PrivateLoader 캠페인

알 수 없는 사용자 2022. 3. 22. 16:22

2021 5월경 처음 등장한 "PrivateLoader" 캠페인이 인기 프로그램의 크랙버전으로 위장하여 유포되기 시작했다. 해당 악성코드는 'PPI(Pay-Per-Install) 악성코드 서비스'로 공격자가 불특정 다수의 타겟을 지정하여 악성코드를 유포할 수 있다. 'PPI 악성코드 서비스'란 악성코드 제작자가 고객(악성코드 의뢰인)이 원하는 페이로드를 다운로드 사이트에 정상 프로그램으로 위장하여 유포하고, 피해자가 해당 파일을 다운로드하여 실행할 때 고객에게 금전을 지불받는 형식의 서비스이다.

 

"PrivateLoader" 악성코드 캠페인은 주로 백신 프로그램의 크랙 버전으로 위장되어 다운로드 사이트에 게시된다. 해당 파일을 피해자가 다운로드한 후 설치 파일을 통해 "Raccoon", "Redline", "Smokeloader"와 같은 페이로드에 감염되고, 이로 인해 사용자 PC의 정보 탈취 및 공격자가 사용자의 PC를 제어할 수 있는 등 다양한 동작을 수행할 수 있다.

 

[그림 1] 크랙 프로그램으로 위장한 PrivateLoader

 

최종적으로 "PrivateLoader"는 설치 파일을 통해 추가 페이로드를 드랍 후 실행한다. 최근 캠페인에서 실행하는 페이로드는 주로 추가 페이로드를 다운로드할 수 있는 "SmokeLoader"로 알려졌다. 그 외에도 사용자 PC의 정보를 탈취할 수 있는 "RedLine", "Raccoon" 악성코드와 공격자가 사용자의 PC를 제어할 수 있는 "QuasarRAT", "njRAT" 그리고 파일을 암호화하여 해당 파일을 빌미로 금전을 요구하는 "Stop", "Lockbit" 랜섬웨어를 다운로드 한다.

 

[그림 2] 페이로드 설치

 

"PrivateLoader"가 다운로드하는 최종 페이로드 중 가장 많이 유포된 "SmokeLoader", "RedLine", "Vidar"에 대해 기술한다.

 

SmokeLoader

"SmokeLoader"는 다운로더 기능 외에도 정보 탈취, DDoS 공격 동작을 수행한다. 또한, 백신 프로그램 탐지 우회를 시도하며 최종적으로 공격자의 C&C 서버와 연결되어 사용자의 PC를 제어하거나 최종 페이로드를 다운로드 및 실행한다.

 

최종 페이로드는 주로 "Stop" 랜섬웨어로 사용자 PC의 파일을 암호화하고, 해당 파일을 빌미로 금전을 요구한다.

 

[그림 3] SmokeLoader 연결 패킷

 

RedLine / Vidar

"RedLine" 악성코드는 최근 코로나19 이슈를 악용한 피싱 메일을 통해 유포되고 있으며 "Vidar" 악성코드는 이력서 또는 공정거래위원회를 사칭하거나 무료 핵툴로 위장해 유포되고 있다. 최종적으로 "RedLine"과 "Vidar" 스틸러 모두 PC 정보, 사용자 파일, 암호화폐 지갑 정보 등 다양한 개인 정보를 수집한 후 공격자의 C&C 서버로 전송한다.

 

▶ 아래의 링크는 "RedLine" 및 "Vidar" 악성코드에 대해 게시된 자사 블로그 분석 보고서이다.
2021.06.21 - [분석 정보/악성코드 분석 정보] - 다양한 방법으로 유포된 RedLine Stealer 악성코드
2020.08.06 - [분석 정보/악성코드 분석 정보] - [악성코드 분석] Vidar Stealer 악성코드 분석 보고서

 

[그림 4] RedLine 정보 탈취 패킷

 

"PrivateLoader" 캠페인은 PPI 서비스로 불특정 다수를 표적으로 PC를 감염시키기에 사용자는 출처가 불분명한 사이트에서의 무분별한 다운로드를 지양해야 하며 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면