V3 Lite 아이콘 위장한 악성코드 주의

안랩은 V3 Lite 아이콘으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 실제 제품의 아이콘과 유사하게 제작되어 사용자를 속일 수 있어, 주의가 요구된다.

이번 글에서는 V3 Lite 아이콘으로 위장한 악성코드의 유포 방식에 대해 자세히 알아본다.

 

 

ASEC 분석팀은 V3 Lite 아이콘으로 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 포착하였다. 가짜 아이콘을 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 이를 통해 아베마리아(AveMaria) RAT(Remote Administration Tool)와 에이전트테슬라(AgentTesla) 악성코드가 확인되었다. [그림 1]과 같이 외형상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다. ​

 

 

[그림 1] V3 Lite 실행파일의 아이콘과 동일한 악성코드 아이콘

 

해당 악성코드는 원격제어 기능의 RAT 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 아베마리아 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 에이전트테슬라, 로키봇(Lokibot), 폼북(Formbook) 악성코드와 유사한 닷넷(.NET) 외형의 패커로 유포되는 특징을 갖는다.

 

아베마리아 악성코드의 원래 이름은 ‘WARZONE RAT’이지만, 동작과정에서 C2 서버와의 프록시 연결 시 인증 목적으로 “AVE_MARIA” 라는 문자열을 보낸다. 따라서 이 문자열 때문에 아베마리아(AveMaria)라고도 지칭된다. 해당 악성코드의 기능과 바이너리의 분석정보는 AhnLab TIP Portal의 상세분석보고서 및 ASEC블로그 '스팸 메일로 유포 중인 AveMaria 악성코드' 게시물을 통해 공개된 바 있다.

 

악성코드가 동작하는 과정에서 윈도우 시스템 평가 도구인 winSAT.exe 와 winmm.dll 파일을 이용한 UAC 권한상승 목적의 커맨드도 확인되었다. 이는 ‘세금계산서로 가장하여 유포되는 Remcos RAT 악성코드’ 게시물에서 간략히 소개한 바 있다.

 

[그림 2] 아베마리아 악성코드 실행 시 메모리에서 확인되는 UAC Bypass 행위

 

악성코드가 실행되면 ‘timeout.exe’ 를 통해 의도적인 시간 지연을 수행하며, 이후 윈도우 정상 프로세스인 ‘RegAsm.exe’에 악성 바이너리를 인젝션하여 추가 악성행위를 수행한다. 내부에 존재하는 악성 바이너리는 [그림 4]에서 확인할 수 있다.

 

[그림 3] 프로세스트리 (RegAsm.exe 정상프로세스에 인젝션)

 

[그림 4] 디버깅 과정에서 확인되는 내부 DLL 바이너리

 

아베마리아 악성코드 외에도 에이전트테슬라 악성코드의 유포가 확인되었다. 에이전트테슬라는 웹브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이며, 매주 제공되는 ASEC 주간 악성코드 통계에서 항상 순위에 포함될 만큼 매우 활발하게 유포되고 있다. (참고 링크: AgentTesla 악성코드 국내에 어떻게 유포되고 있나?)

 

[그림 5] RAPIT 로그 – 웹브라우저의 데이터를 가로채는 행위

 

안랩 인프라를 통해 확인한 결과 V3 Lite 아이콘을 사칭한 사례와 연관된 악성파일들이 활발하게 유포되는 현황을 파악할 수 있었다. 이러한 악성파일은 대부분 피싱 메일의 첨부파일을 통해 유입되는 경우가 많다.

 

사용자들은 기본적으로 출처가 불분명한 메일의 첨부파일 열람은 자제하고, 사용중인 안티바이러스 제품을 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 해야 한다.

 

현재 V3는 해당 악성코드를 효과적으로 탐지 및 차단하고 있다.

 

 

출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의