본문 바로가기
악성코드 정보

코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker)

by 분석팀 2020. 5. 11.

ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. 

 

https://asec.ahnlab.com/1276

 

동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산?

ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로��

asec.ahnlab.com

 

코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. 주로 주소 문자열을 저장해둔 후 필요할 때 복사 및 붙여넣는 방식으로 사용할 것이다. 악성코드가 감염된 환경에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간 사용자의 지갑 주소가 악성코드 제작자의 지갑 주소로 변경된다.

 

복사 후 붙여넣기 할 때 변경되는 코인 지갑 주소

 

위에서는 비트코인과 모네로의 결과만 존재하지만, 이더리움, 라이트코인, ZCash, 비트코인캐시(기존 주소 및 신규 주소 모두) 등도 클립보드 하이재킹 공격의 대상이다.

 

감염된 환경에서는 악성코드가 IntelRapid라는 이름으로 동작하면서 복사한 클립보드를 공격자의 주소로 변경하는 작업을 수행한다. 최근에는 IntelRapid라는 이름 대신 RuntimeBroker라는 이름으로 감염된 컴퓨터에서 동작 중이다.

 

IntelRapid 또는 RuntimeBroker로 실행된 악성코드는 이후 클립보드를 모니터링하다가 만약 사용자가 복사한 문자열이 코인 지갑 주소와 매칭된 경우 그 주소를 공격자의 주소들 중 하나로 변경한다.

 

클립보드를 얻어오고 변경하는데 사용되는 API


공격자의 지갑 주소들은 리소스 섹션에 인코딩된 형태로 존재하며, 실행 후 메모리 상에 디코딩되어 있다가, 사용자가 지갑 주소를 복사했을 선택되어 원래 지갑 주소를 대체하게 된다.

 

메모리 상에 디코딩되어 존재하는 지갑 주소들

 

다음은 과거 버전과 최근 변형의 차이점을 정리한다. 먼저 위에서도 언급했듯이 악성코드 실행 시 자기 자신을 복사하는 경로가 AppData\Roaming\IntelRapid\IntelRapid.exe 에서 AppData\Roaming\RuntimeBroker\RuntimeBroker.exe 경로로 변경되었다. 참고로 이후 시작 프로그램 폴더에 동일한 이름의 바로가기 파일을 만들어서 재부팅 후에도 실행될 수 있도록 한다.

 

과거 버전(IntelRapid)과 최근 변형(RuntimeBroker)

 

다음으로는 뮤텍스가 있다. 과거 악성코드에서는 뮤텍스 "{37529D08-A67E-40B3-B0F2-EB87331B47F5}"를 사용한 반면, 최근 악성코드에서는 뮤텍스 "{9GY84Y765-06U8-4444-9TI5-76756K2EYDS9}"가 사용된다.

 

RuntimeBroker의 뮤텍스

 

마지막으로 리소스 이름이 변경되었다. 과거 IntelRapid로 유포되던 악성코드들은 모두 인코딩된 지갑 주소들이 DATABASE라는 이름으로 리소스 섹션에 저장되었다. 하지만 최근 유포 중인 RuntimeBroker는 CURSOR 라는 이름으로 리소스 섹션에 저장되어 있다.

 

IntelRapid와 RuntimeBroker의 리소스 섹션 차이

 

현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고있다.

 

[파일진단]
- Trojan/Win32.MalPe.R335265

 

댓글