본문 바로가기

벌새::Analysis

스팀(Steam) 계정 정보 탈취 목적의 악성 화면 보호기(.scr) 주의 (2016.8.16)

반응형

최근에 스팀(Steam) 클라이언트를 통한 온라인 게임을 즐기는 과정에서 쪽지(문자)를 통해 특정 URL 주소를 전달하여 클릭 시 악성 화면 보호기(.scr) 파일을 다운로드하도록 유포되는 사례가 발견되고 있습니다.

 

 

확인된 문자 메시지는 "ahaha, lol h**p://imagehost.trade/image**" 형태로 구성되어 있으며, URL 주소를 클릭할 경우 Google 단축 URL(goo.gl) 주소를 경유하여 image41.scr 화면 보호기 파일을 다운로드하도록 구성되어 있습니다.

 

  • image41.scr (SHA-1 : 38de43c12c1b4312804fc23b64c62eea781c2257 - BitDefender : Trojan.GenericKD.3469711)
  • image41.scr (SHA-1 : 9b55d1184e3742f111d0fd5af8283a2e8742bbbc - ESET : a variant of MSIL/Injector.QAK)

 

goo.gl 단축 URL 주소와 image41.scr 파일은 주기적으로 교체가 이루어지고 있으며 유포 초기 백신 프로그램을 통한 진단 수준이 많이 낮은 편입니다.

 

 

해당 화면 보호기(.scr) 파일은 주로 미국, 한국, 동남 아시아 지역에서 많이 다운로드되고 있으며, 변종에 따라 파일 아이콘 모양은 달라질 수 있습니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\0e1c4375-1a99-42c4-9c09-9a7d27b6b9f0
C:\Users\%UserName%\AppData\Local\Temp\0e1c4375-1a99-42c4-9c09-9a7d27b6b9f0\AgileDotNetRT.dll
 - SHA-1 : c3bf1483bdc2ea18f0b7a67caa32424900e1c337
 - Malwarebytes : Trojan.Injector

 

C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WebHelp.exe
 - SHA-1 : 9b55d1184e3742f111d0fd5af8283a2e8742bbbc
 - ESET : a variant of MSIL/Injector.QAK

 

C:\Users\%UserName%\AppData\Roaming\Microsoft\WebHelp.exe
 - SHA-1 : 9b55d1184e3742f111d0fd5af8283a2e8742bbbc
 - ESET : a variant of MSIL/Injector.QAK

 

C:\Users\%UserName%\AppData\Roaming\svchost.exe

 

 

만약 사용자가 다운로드된 화면 보호기(.scr) 파일을 실행할 경우 "C:\Users\%UserName%\AppData\Roaming\Microsoft\WebHelp.exe" 파일로 자신을 복제한 후 Windows 부팅 시 자동 실행되도록 시작프로그램 폴더 영역에 추가적으로 복사를 합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - Load = (공란) :: 변경 전
 - Load = C:\Users\%UserName%\AppData\Roaming\Microsoft\WebHelp.exe :: 변경 후

 

또한 추가적으로 "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load" 레지스트리 값에 WebHelp.exe 파일을 등록하여 자동 실행될 수 있도록 구성되며, 실행 시마다 [reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "C:\Users\%UserName%\AppData\Roaming\Microsoft\WebHelp.exe" /f] 명령어를 통해 레지스트리 값을 지속적으로 추가할 수 있습니다.

 

실행된 WebHelp.exe 파일은 RegAsm.exe 시스템 파일(Microsoft .NET Assembly Registration Utility)을 "C:\Users\%UserName%\AppData\Roaming\svchost.exe" 파일로 생성 및 실행하여 악의적인 기능을 수행하는 AgileDotNetRT.dll 모듈을 로딩하여 메모리에 상주합니다.

 

감염된 환경에서는 단순히 프로세스 이름으로는 악성 파일을 찾을 수 없으며, svchost.exe (= RegAsm.exe) 파일에 인젝션된 AgileDotNetRT.dll 모듈의 존재 여부를 체크해야합니다.

 

해당 악성코드는 "d:\asd\php\steam_complex\New_steal\new_steal_no_proxy\13 ????????????-newimg\SteamStealer\obj\Release\vv.pdb" PDB 정보로 스팀(Steam) 계정 정보를 탈취할 목적으로 제작된 것으로 추정됩니다.

 

그러므로 게임 중 해킹당한 친구 또는 모르는 사람으로부터 쪽지를 통해 URL 링크 클릭을 하도록 유도할 경우에는 다운로드된 파일이 단순한 화면 보호기(.scr) 파일이라고 착각하지 마시고 파일을 클릭하는 일이 없도록 각별히 주의하시기 바랍니다.

728x90
반응형