​
(*이미지 출처: shutterstock.com)

악성코드 전문 분석 조직인 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 블로그를 통해 알리바바코인 (ABBC Coin) 지갑 프로그램과 함께 설치되는 악성코드에 대한 분석 정보를 공유했다.

‘암호화폐 지갑’은 암호화폐 거래 시 사용되는 공개 키(Public Key)와 개인 키(Private Key)를 보관 및 관리하는 일종의 프로그램으로, 암호화폐 거래 시 인증과 블록체인과의 통신을 담당하는 역할을 한다. 공격자는 최근 알리바바코인의 시세가 상승하면서 이에 대한 관심이 높아짐에 따라 알리바바코인 지갑 프로그램 사용자를 공격 대상으로 삼은 것으로 보인다.

이번에 확인된 악성코드는 알리바바코인(ABBCCoin) 프로그램이 실행되면 AppData\Roaming 폴더에 [그림 1]과 같은 암호화폐 지갑 프로그램과 함께 ‘sys.exe’라는 파일을 설치 및 실행한다. sys.exe는 다운로더 악성코드로, 최신 보안 기술인 샌드박스 분석 및 탐지를 우회하는 기술을 사용해 분석 환경이 아닐 경우에만 악의적인 동작을 수행한다.

​
[그림 1] ABBCCoin 지갑 프로그램

해당 다운로더 악성코드가 정상적으로 동작하면 우선 특정 업체의 웹사이트에서 인코딩된 실행파일(PE)을 다운로드한다. 이 파일은 다운로드할 때나 파일로 존재할 경우에는 인코딩된 파일 형태를 하고 있지만 실제로는 DLL로 제작된 악성코드이다. 이 인코딩된 파일을 다운로더 악성코드가 읽고 디코딩한 후 메모리 상에서 실행하는 방식으로 보안 솔루션의 탐지를 피한다.

이러한 방식으로 설치 및 동작한 악성코드는 시스템, 프로세스 및 프로그램 목록, 이메일, 브라우저 히스토리 등의 정보를 추출하고 저장한 후 공격자에게 전송한다. 특히 그림 2]와 같이 각종 문서 및 압축 파일, 사진 파일 목록 외에도 암호화폐(코인) 관련 파일들의 목록을 수집하고 유출한다. 또한 웹 브라우저 상에서 입력한 아이디, 비밀번호 뿐만 아니라 클립보드에 저장된 데이터까지도 유출한다.

​
[그림 2] 유출 대상 파일의 확장자 및 키워드
　

한편, 해당 악성코드는 컴퓨터가 재부팅 될 때 다시 동작하기 위해 Run 키를 등록하는데, 이때 등록하는 키의 이름을 [그림 3]과 같이 안랩(AhnLab)을 차용하고 있다.
　

​
[그림 3] 런 키 등록에 사용한 문자열에 보이는 안랩(AhnLab) 글자

V3 제품군에서는 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- Dropper/Win32.Agent (2019.03.15.00)

- Trojan/Win32.Downloader (2019.03.15.00)

- BinImage/EncPE (2019.03.15.01)

- Backdoor/Win32.Infostealer (2019.03.15.06)

[출처 : 안랩(((www.ahnlab.com)]