Spyware.CryptBot 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

최근 ‘Spyware.CryptBot’(이하 ‘CryptBot’) 정보 탈취 악성코드가 가짜 소프트웨어 사이트 등을 통해 유포되고 있는 것으로 알려져 있습니다. 이 악성코드에 감염이 되는 경우, 정보 탈취 및 클립보드를 공격자 지갑 주소로 변경하는 추가 페이로드 다운로드 기능을 수행하게 되어 금전적으로 상당한 피해가 발생할 수 있습니다.

 

[그림] 스크린샷 수집 코드 일부

‘CryptBot’는 감염PC 정보, 웹 브라우저 크리덴셜, 암호화폐 애플리케이션 정보를 탈취하여 C&C 전송, 추가 페이로드 다운로드 기능을 수행합니다. 그리고 다운로드되어 실행되는 ‘ClipBanker’는 사용자의 클립보드에 암호화폐 지갑 문자열이 존재하는 경우, 이를 공격자 지갑으로 변조하는 기능을 가집니다.

다른 정보 유출형 악성코드와 달리 암호화폐 탈취에 많은 부분이 집중되어 있어서, 암호화폐를 자주 이용하는 기업, 개인 입장에서 이 악성코드에 감염이 된다면 상당한 금전적인 피해가 발생될 수 있습니다.

따라서 악성코드 감염을 예방하기 위해 출처가 불분명한 웹 사이트에서의 다운로드를 지양해야 하며, 신뢰할 수 있는 백신을 항상 최신 버전으로 유지해야 합니다.

 

현재 알약에서는 해당 악성코드를 'Spyware.CryptBot’, ‘Trojan.Clipbanker.A’ 탐지 명으로 진단하고 있습니다.