보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

불법 도박 하려다 RAT 악성코드 감염된다

입력 : 2024-02-07 10:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
불법 도박 관련 파일로 위장한 RAT 악성코드, 개인정보유출 및 키로깅 등 위협
공격자 베놈 RAT·판도라 hVNC 등 다양한 악성코드 사용


[보안뉴스 박은주 기자] 불법 도박 관련 파일로 위장한 RAT 악성코드가 유포되고 있다. 바로가기(Lik) 파일을 통해 퍼지고 있는데, 지난 1월 카카오 인증서로 위장해 악성코드를 유포한 베놈(Venom) RAT 악성코드 유포 방식과 동일하다.

[이미지=ASEC]


RAT 악성코드는 바로가기 파일을 통해 HTML 응용 코드인 HTA에서 다운로드 된다. 해당 바로가기 파일에는 악성 파워쉘 명령어가 포함돼 있고, MSHTA를 실행해 악성 스크립트를 내려받는다.

▲악성코드 동작과정[자료=ASEC]


안랩 시큐리티 인텔리전스 센터(ASEC)의 분석에 따르면 바로가기 파일에 포함된 악성 URL은 다음과 같다.

-hxxp://193.***.***[.]253:7287/2.hta.hta
-hxxp://193.***.***[.]253:7287/.hta
-hxxp://85.209.176[.]158:7287/6.hta

▲불법 도박 베팅과 관련한 방법이 저장된 percent.xlsm 파일[이미지=ASEC]


이중 첫 번째 URL에는 VBS 코드가 존재한다. VBS 코드 내부에는 정상 문서 파일과 RAT 악성코드를 내려받는 파워쉘 명령어가 난독화돼 있다. 파워쉘 명령어는 실행 시 특정 주소에서 엑셀 문서를 내려받는다. 문서는 ‘%APPDATA%’ 폴더에 percent.xlsm 파일(이하 엑셀 파일)로 저장된다. 엑셀 파일은 불법 도박 베팅과 관련한 방법이 저장돼 있다. 관련 사용자를 대상으로 유포되는 것으로 예상된다.

▲악성 URL에서 확인된 추가 파일 목록[이미지=ASEC]


이후 추가 실행 파일을 내려받아 ‘%APPDATA%’ 폴더에 darkss.exe로 저장된다. 저장된 실행 파일은 베놈 RAT 악성코드로 키로깅 및 사용자 정보를 유출할 뿐만 아니라, 공격자로부터 명령을 받아 다양한 악성 행위를 수행할 수 있다.

또한 공격자는 다양한 종류의 RAT 악성코드를 사용하고 있다. 악성 파일 외에 다양한 HTA 스크립트와 디코이 문서 파일, 악성 실행 파일이 포함돼 있다. 추가로 확인된 디코이 문서 역시 불법 도박 사이트 관련 정보를 포함하고 있으며, 심지어 일부 사용자의 개인정보가 담겨 있다. 이중 악성 실행 파일인 ‘Darksoft111.exe’와 ‘Pandora_cryptered.exe’는 각각 베놈 RAT과 판도라(Pandora) hVNC 악성코드로 확인됐다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대