[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러

ASEC 분석팀은 최근 Vidar 인포스틸러 악성코드가 KMSAuto, KMSPico 인증 툴을 위장한 악성코드들을 통해 유포 중인 것을 확인하였다. 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가 악성코드가 다운로드되어 설치될 수 있다.

 

KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드 및 사용되는 프로그램이다. 이렇게 사용자 수가 많은 만큼 악성코드들도 이를 악용하는데, 이번에 확인된 악성코드는 이 툴을 위장한 Vidar 인포스틸러(InfoStealer)이다.

 

파일들을 보면 각각 kmsauto-setup.exe, kmspico.exe로 유포되며 원래 인증 프로그램과 동일한 아이콘을 사용한다. 또한 모두 WinRAR SFX 압축 실행 파일로 만들어져 있으며, 실행 시 아래와 같이 비밀번호를 요구한다.

 

설치 시 비밀번호를 요구하는 악성코드

 

비밀번호는 kmsauto-setup.exe의 경우 “kmsauto”, kmspico.exe의 경우에는 “kmspico”이다. 만약 해당 비밀번호를 입력하면 아래와 같이 build.exe, script.vbs, 그리고 kmsauto 또는 kmspico 파일을 AppData\Roaming 폴더에 생성한 후, 각각 실행한다.

 

비밀번호 입력 시 내부에 포함된 악성 파일들

 

생성된 파일 중 script.vbs는 IP Logger 서비스 ( yip.su ) 에 접속 및 자가 삭제하는 기능을 갖는다. 이는 IP Logger 서비스를 이용해 감염 PC에 대한 통계 ( 감염 시간, IP 주소 ) 정보를 획득하기 위한 목적으로 추정된다.

 

IP Logger 기능을 갖는 VBS 스크립트

 

생성된 파일 중 build.exe라는 이름을 갖는 것이 Vidar 악성코드이다. 외형의 경우 과거 ASEC 블로그에서 언급되었던 MalPe 악성코드와 동일하다.

https://ahnlabasec.tistory.com/1276

동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산?

https://ahnlabasec.tistory.com/1319

코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker)

 

Vidar 악성코드는 C&C 서버와 정상적으로 연결되면 추가 DLL들을 다운로드 받는다. 이 DLL들은 인포스틸러 기능을 위해 필요한 정상 DLL들이다.

 

정보 유출 기능을 위해 다운로드 받는 정상 DLL들

 

다운로드된 파일들은 C:\ProgramData 경로에 저장되며, 여기에는 추출한 사용자 정보들도 함께 저장된다. 인포스틸러 대상으로는 FTP 클라이언트, 웹 브라우저들의 Autofill, 쿠키, 히스토리 등 외에도 코인 지갑 주소 등이 포함된다.

 

추출한 사용자 정보들

 

Information.txt 파일을 확인해 보면, Vidar의 버전 정보와 날짜, 사용자 시스템 환경, 하드웨어, 네트워크, 실행 중인 프로세스, 설치된 프로그램 목록 등을 확인할 수 있다.

 

기본 사용자 정보들

 

Vidar는 인포스틸러 기능 외에도 다운로드 기능이 존재한다. 즉 인포스틸러 행위 이후 자가 삭제를 진행하기 전 다운로드된 추가 악성코드를 실행한다.

 

다운로드 받은 추가 악성코드를 실행시키는 루틴

 

현재 V3에서는 해당 악성코드들을 다음과 같은 진단명으로 진단하고 있다.

 

[파일 진단]

• Dropper/Win32.Agent.C4112761
• Trojan/Win32.MalPe.R339224
• Trojan/VBS.Agent

[행위 진단]

• Malware/MDP.SystemManipulation.M2040