마이크로소프트 오피스 크랙 버전이 악성코드 혼합물을 퍼뜨리는 데 사용됨

안랩 보안 인텔리전스 센터(ASEC)의 연구원들은 토렌트 웹사이트에서 다운로드한 마이크로소프트 오피스 및 윈도우의 크랙 버전을 통해 악성코드 혼합물을 배포하는 진행 중인 캠페인을 확인했습니다.

공격자들은 다운로드 프로그램, 코인 마이너, 원격 접근 트로이 목마(RAT), 프록시 및 안티AV와 같은 다양한 악성코드 변종을 한국 사용자에게 배포했습니다.

윈도우, MS 오피스 및 한국에서 인기 있는 한글 워드 프로세서와 같은 합법적인 프로그램의 크랙 버전으로 위장했습니다.

연구원들의 말

한국 연구원들은 보고서에서 위협 행위자들이 감염된 시스템의 작업 스케줄러에 등록하여 악성코드를 설치하기 위해 PowerShell 명령을 실행함으로써 악성코드를 업그레이드하고 있다고 말합니다.

작업 스케줄러가 수정되지 않으면 새로운 악성코드 변종이 시스템에 반복적으로 설치됩니다.

그러나 V3를 설치한 사용자는 악성코드에 의해 설치된 작업을 V3가 수정하기 때문에 반복적인 악성코드 설치 문제를 경험하지 않습니다.

설치된 악성코드 변종에는 업데이트를 실행하는 유형이 포함되어 있어, 이전 URL을 차단한 후에도 감염이 지속됩니다. 작업 스케줄러에 등록된 PowerShell 명령이 지속적으로 변경되기 때문입니다.

결과적으로 공격자는 감염된 한국 시스템을 제어하고 이를 프록시로 사용하거나 암호화폐를 채굴하여 사용자의 민감한 정보가 도난당할 위험에 처하게 합니다.

보고서는 최근에 발견된 MS 오피스의 크랙 버전으로 위장한 악성코드 배포 사례가 .NET을 사용하여 개발되었으며 최근에 난독화된 것으로 확인되었다고 덧붙입니다.

난독화되기 전, 아래 형식을 따르며 초기 실행 후 텔레그램에 접근하여 다운로드 URL을 얻었습니다.

최근 배포된 악성코드는 두 개의 텔레그램 URL과 하나의 마스토돈 URL로 구성되어 있으며, 각 URL은 각 프로필에 대한 구글 드라이브 또는 깃허브 URL에서 사용되는 문자열을 포함하고 있습니다.

또한, 깃허브와 구글 드라이브에서 다운로드된 데이터는 Base64로 암호화된 문자열로, 복호화하면 다양한 악성코드를 설치하는 PowerShell 명령이 실제로 포함되어 있습니다.

ASEC 연구원들은 침해된 시스템에 설치된 악성코드는 다음과 같다고 말합니다:

• Orcus RAT: 시스템 정보 수집, 명령 실행 및 파일, 레지스트리 및 프로세스 작업과 같은 기본 원격 제어 기능을 지원합니다. 또한 키로깅 및 웹캠을 사용하여 정보 유출 기능을 제공합니다.

• XMRig: 시스템에서 실행된 프로그램이 게임, 하드웨어 모니터링 유틸리티 및 그래픽 처리 프로그램과 같은 상당한 양의 시스템 리소스를 차지할 때 채굴을 중단하여 탐지를 피합니다.

• 3Proxy: 프록시 서버 기능이 있는 오픈 소스 도구로, 방화벽 규칙에 3306 포트를 추가하고 3Proxy를 합법적인 프로세스에 주입하여 위협 행위자가 감염된 시스템을 프록시로 악용할 수 있게 합니다.

• PureCrypter: 외부 소스에서 추가 페이로드를 다운로드하고 실행합니다.

• AntiAV: 프로그램이 실행될 때마다 설치 폴더 내의 구성 파일을 지속적으로 수정하여 보안 프로그램이 제대로 작동하지 못하게 하여 다른 구성 요소의 작동에 시스템을 취약하게 만듭니다.

• Updater: 악성코드를 다운로드하고 지속성을 유지하는 역할을 합니다. 또한 시스템 재부팅 후에도 지속적으로 작동할 수 있도록 작업 스케줄러에 등록합니다.

사용자는 의심스러운 출처에서 불법 복제 또는 크랙 소프트웨어를 다운로드할 때 주의할 것을 권장합니다.