최근 안랩에서 윈도우 정품 인증 툴로 위장한 BitRat과 XMRig 코인 마이너가 유포되고 있다고 밝혔다.
이전에도 웹하드 통해 유포된 적 있으나, 이번에 달라진 점은 백신 설치 유무에 따라 설치되는 방식이 달라졌다는 것.
- V3가 설치되지 않은 환경에서는 BitRat 원격제어 툴이 설치.
- V3가 설치된 환경에서는 코인 마이너를 설치
현재 미디어파이어(MidiaFire)라는 파일 호스팅 사이트에 KMS tools로 위장한 압축파일 형태로 업로드되어있다.
게다가.. 해당 링크가 국내 여러 커뮤니티 사이트에 공유되었기에 감염자가 속출할 것으로 보임.
[악성코드 간단 분석]
- 압축 해제 시 exe 확장자를 가진 실행 압축 파일(7z SFX)
- 실행하는 것만으로 공격자가 원하는 경로 내에 실행압축 파일 내부의 파일 설치
- Windows Defender가 악성코드 탐지를 못하도록 예외 항목에 추가하는 코드 존재
- 외부에서 추가적인 악성코드 다운로드
- "vmtoolsd" 또는 "asdmon" 프로세스가 현재 실행 중인지를 검사. 존재한다면 추가적인 악성코드 다운 X
>> Anti-Sandbox
- "ASDSvc" 프로세스 실행 여부에 따라 V3 설치 여부 판단.
>> 설치된 경우 "obieznne.msi" / 아니면 "wniavctm.msi"
- 과정 종료 시 처음 실행한 실행 압축 파일은 삭제 후 원본 KMSTools.exe 생성됨
>> 사용자는 해당 파일 계속 사용 가능. 악성코드 감염 인지 어려움.
해당 이슈 링크 >> https://m.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=32248&key=&dir_group_dist=&dir_code=&searchDate=
윈도우 정품 인증 툴로 위장한 악성코드 주의!
안랩은 최근 윈도우 정품 인증 툴로 위장한 BitRAT과 XMRig 코인 마이너가 유포 중인 것을 확인하였다. 해당 악성코..
m.ahnlab.com
BitRat 툴 >> https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat
BitRAT (Malware Family)
New Actor for win.bit_rat Stealth Mango and Tangelo (ATK78, G0076)ALLANITE (Palmetto Fusion, Allanite)ANDROMEDA SPIDERANTHROPOID SPIDER (Empire Monkey, CobaltGoblin)APT 16 (APT16, SVCMONDR, G0023)APT 22 (APT22, BRONZE OLIVE)APT 26 (APT26, Hippo Team, Jerse
malpedia.caad.fkie.fraunhofer.de
XMRig 코인마이너 >> https://trojan-killer.net/ko/remove-xmrig/
Remove XMRig Miner: Easy Steps To Uninstall - Trojan Killer
A brand-new, extremely harmful cryptocurrency miner infection has been detected by protection resear
trojan-killer.net
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] FRP 오픈소스 도구 통하여 서버 장악 후 공격. 국내 기업을 타겟으로, 반도체 기업도 피해입어 (1) | 2022.08.22 |
|---|---|
| [보안이슈] 깃허브에 솔루션 파일(.sln)로 위장한 RAT 툴 유포, 개발자들 주의할 것 (0) | 2022.08.19 |
| [보안이슈] 해킹 조사중이라며 경찰 신분증 내민 북한 해커 (0) | 2022.08.17 |
| [보안이슈] 중국 해커들에 의해 채팅 앱 MiMi Chat의 뒷문이 열려... (0) | 2022.08.17 |
| [보안이슈] KISA, 악성 앱 특징 분석한 보고서 공개한다. 6개 항목 43개 세부 특징 정보 (0) | 2022.08.16 |