소프트웨어 크랙 및 인스톨러로 위장...백신 탐지 회피 위해 파일 용량 확장도
지난해 새롭게 등장한 인포스틸러...라쿤 스틸러의 새로운 버전으로 알려져
[보안뉴스 김영명 기자] 레코드브레이커(RecordBreaker)는 지난해 새롭게 등장한 인포스틸러 악성코드로, Raccoon 스틸러의 새로운 버전이라고도 알려졌다. CryptBot, RedLine, Vidar와 같은 다른 인포스틸러 악성코드들처럼 주로 소프트웨어 크랙 및 인스톨러로 위장해 유포되는 대표적인 악성코드다.
안랩 ASEC 분석팀은 최근 해킹된 것으로 추정된 유튜브 계정을 통해 레코드브레이커가 유포되고 있는 것을 확인했다. 검색 엔진은 악성코드 유포에 사용되는 대표적인 공격 벡터 중 하나다. 레코드브레이커는 과거에도 다음(daum) 블로그에서 검색 엔진을 통해 유포되고 있었다. 검색 엔진에서는 상용 소프트웨어의 크랙, 시리얼, 인스톨러 등을 검색한 사용자들은 실제로는 악성코드가 다운로드되는 위장 유포 페이지로 접속해 악성코드를 다운로드했다.
최근에는 검색 엔진 외에도 유튜브를 통해 악성코드를 유포하는 사례가 자주 확인된다. 예를 들어 과거 RedLine 인포스틸러를 유포했던 공격자는 크랙 프로그램 설치 방법을 알려주는 영상과 함께 크랙을 위장한 내려받는 링크를 함께 업로드했다. 이외에도 라이엇 게임즈에서 개발한 발로란트 게임의 핵을 위장하면서 실제로는 BlackGuard 인포스틸러 악성코드를 유포한 사례도 있다.
최근 유튜브를 통해 유포 중인 악성코드들을 모니터링하던 중 해킹된 것으로 추정된 유튜브 계정을 통해 레코드브레이커 인포스틸러가 유포되고 있는 것을 확인했다. 공격자가 업로드한 게시물이며, 영상 설명과 댓글에 Adobe Photoshop 크랙을 내려받을 수 있는 링크와 가이드를 적었다.
공격자들이 유튜브를 통해 악성코드를 유포되는 방식은 자주 사용되지만, 공격자 대부분은 새로운 계정을 생성해 악성코드 링크를 업로드하고 있다. 하지만 현재 해당 계정은 12만명 이상의 구독자를 갖고 있다. 또한, 이 계정을 사용한 유튜버는 악성코드 유포 동영상을 업로드하기 며칠 전까지 정상적으로 활동하고 있는 것으로 확인돼, 공격자는 해당 유튜버의 계정을 탈취한 이후 악성코드 업로드에 사용한 것으로 추정된다.
‘Launcher_S0FT-2O23.exe’는 레코드브레이커 인포스틸러 악성코드로서 실행하게 되면 C&C 서버에 접속해 설정 데이터와 정보 탈취에 필요한 DLL 파일들을 다운로드한다. 레코드브레이커가 실행되면 ‘machineId’를 구하고 악성코드에 하드코딩된 값인 ‘configId’를 C&C 서버에 전달하며, 이후 C&C 서버로부터 다음과 같은 설정 데이터를 전달받는다. 전달받는 데이터로는 정보 탈취에 필요한 DLL들을 다운로드할 주소들과 탈취할 파일들의 경로가 존재한다.
레코드브레이커는 시스템 기본 정보 및 설치 프로그램 목록, 스크린샷, 브라우저에 저장된 계정 정보 등 시스템에 저장된 다양한 정보들을 수집해 탈취하며, 마지막으로 추가 페이로드를 다운로드해 설치할 수 있다. 다운로드된 파일들 중 ‘GUI_MODERNISTA.exe’는 다양한 크랙 파일들을 내려받는 기능을 제공하는 프로그램으로서, 사용자가 정상적으로 크랙 프로그램을 내려받은 것으로 인지시켜 악성코드가 설치됐는지를 확인하기 어렵게 한다.
또 다른 파일인 ‘vdcs.exe’는 코인 마이너 악성코드로서 공격자는 감염 시스템에 대한 정보를 수집한 이후에는 코인 마이너를 설치해 감염 시스템의 자원으로 암호 화폐를 채굴한다.
레코드브레이커는 감염 시스템에 저장돼 있는 다양한 사용자 정보들을 수집해 탈취하는 인포스틸러 악성코드로서 이외에도 추가적인 악성코드를 내려받아 설치할 수 있다. 레코드브레이커는 구독자 수가 10만 명이 넘는 계정을 통해 유포됐으며, 과거 정상적으로 활동했던 것으로 추정했을 때 해당 계정은 공격자에 의해 해킹된 것으로 추정된다. 공격자는 레코드브레이커를 통해 감염 시스템의 정보를 수집했으며, 정보 탈취 이후에는 코인 마이너를 추가로 설치해 암호 화폐를 채굴하고 있다.
ASEC 분석팀 관계자는 “다양한 플랫폼을 통해 악성코드가 설치될 수 있기 때문에 불법 프로그램을 내려받아 사용하는 행위를 지양해야 한다”며 “정품 소프트웨어 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제해야 한다”고 말했다. 이어 “V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
유튜브의 사용량이 급증하고, 안보는 사람이 없을 정도로 대중 매체가 된 유튜브를 통해 악성코드를 유포한다는 점이 이 기사를 채택한 가장 큰 이유가 되었다. 악성 코드를 유포하는 방식이 매우 다양하다는 것은 알고 있지만, 하물며 고작 영상을 보는게 끝인 유튜브를 통해 접근을 쉽게 한다는 점이 가장 충격적이었다. 컴퓨터를 사용하며 정말 사소한 부분까지도 꼼꼼히 신경 쓰지 않으면 어떠한 방식으로라도 보안 상의 문제가 발생할 수 있다는 것을 다시 한 번 상기하게 되었다. 또한, 지금은 영상을 보고 해당 링크를 통해 다운로드 되는 방식이지만, 영상을 시청하는 것 만으로도 악성 코드가 다운로드되는 경우가 생길 수도 있겠다는 생각을 했다.