util.bitaminbox.com 사이트에서 악성코드 배포

util.bitaminbox.com 사이트에서 악성코드 배포 관련해서 주의 할 점과 해결 방법에 대해서 적습니다.

util.bitaminbox.com 사이트에서 악성코드 배포

util.bitaminbox.com 사이트에서 악성코드 배포는 util.bitaminbox.com 사이트에서 실행파일을 위장한 정보 유출 악성코드가 유포되고 있어 주의가 필요하다고 한다. 공격자는 특정 성인 게임 압축 파일에 해당 게임과 정보 유출 악성코드를 동시에 실행시키는 가짜 실행파일(.exe)을 만들어 포함시킨 후 util.bitaminbox.com 사이트에 업로드 했다. 

일반적인 유틸만 실행하는 정상 실행파일은 사용하지 못 하도록 util.bitaminbox.com 사이트에서 악성코드 는 정상 파일명을 변경했다. 다시말하면 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작한 후 util.bitaminbox.com 사이트에서 배포하였다.

util.bitaminbox.com 사이트 자료실의 유틸리티 항목에 다음과 같이 첨부파일을 포함한 게시글을 업로드하였다. 해당 게시글은 특정 유틸리티 프로그램을 소개하는 내용으로 이루어져 있으며 첨부파일 내부에는 악성코드가 존재한다.

util.bitaminbox.com 사이트에서 악성코드 제거 대응 방법

util.bitaminbox.com 사이트 같이 커뮤니티의 자료실을 통한 악성코드 유포 사례가 자주 보고되고 있으므로 사용자의 주의가 필요하다. 프로그램의 경우 반드시 공식 홈페이지를 통하여 다운로드하는 것을 권장한다.  현재 국내 v3 백신이나 알약에서는 해당 악성코드를 자동으로 탐지해서 제거 가능하다. 

util.bitaminbox.com 사이트에서 악성코드 배포 내용

첨부파일 내부의 실행파일에는 공식 홈페이지에서 배포 중인 원본 파일과는 다르게 “.ireloc” 이름의 섹션이 추가되어 있으며 실행 권한을 가지고 있다. 해당 섹션에는 악성 쉘 코드가 존재하며, 추가적으로  EntryPoint 근처의 Call 명령어의 주소가 변조되어 있어 파일 실행 시 쉘 코드를 실행 후 원래의 코드를 실행하게 된다.

이와 같이 실행 흐름을 변조하여 악성코드를 실행하기 때문에 원본 유틸리티 프로그램은 정상적으로 실행되며, 내부적으로 악성 스레드가 동작하여 사용자가 악성코드 감염을 인지하기 어렵다. 만약 사용자가 util.bitaminbox.com 사이트에서 악성코드 배포 된 게시물에 첨부된 압축 파일을 내려받아 공격자가 만든 가짜 게임 실행파일을 클릭하면 악성코드에 즉시 감염된다. 

이와 동시에 유틸이 정상적으로 실행되기 때문에 사용자가 util.bitaminbox.com 사이트에서 악성코드 배포한 악성코드 감염 사실을 더욱 알기 어렵다. 감염 후 악성코드는 공격자 C&C(Command&Control) 서버와 통신하며 추가 악성코드 다운로드, 사용자 정보 탈취 등 악성 행위를 수행해 다양한 피해를 일으킬 수 있다.

해당 악성코드가 담긴 게시물은 현재 삭제되었으나 다른 유틸을 위장해 유사한 수법으로 다시 유포될 수 있다. 

util.bitaminbox.com 사이트에서 악성코드 피해 줄이는 방법

1. 게임/영화/SW 등 다운로드 시 공식 홈페이지 이용 
2. 출처를 알 수 없는 파일 실행 금지 
3. OS(운영체제) 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 
4. 최신 버전 백신 사용 및 실시간 감시 적용 등 보안수칙을 지켜야 한다.

공격자는 util.bitaminbox.com 사이트에서 악성코드 배포와 마찬가지로 유틸이나 게임 또는 영화 등을 불법 다운로드하는 사용자를 노려 악성코드를 유포하는 경우가 많다. util.bitaminbox.com 사이트에서 악성코드 배포 피해를 예방하기 위해서 평소에도 정품 소프트웨어를 사용하고 정식 다운로드 경로로만 파일을 내려받는 등 보안을 생활화하는 것이 꼭 필요하다.

블로그 인기글

아이폰 드라스틱 대체 닌텐도 에뮬 iNDS 설치 다운로드

util.bitaminbox.com 사이트에서 악성코드 배포

또한 최근에는 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ‘코로나 예측 결과’에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일을 통해 유포되었으며 이 메일에는 악성 엑셀 문서가 첨부되어 있다. 

첨부된 악성 엑셀 파일은 국가별 코로나 확진자 사망자의 수를 확인 할 수 있는 내용이 포함되어 있으며 특히 누적 확진 사망자의 인원을 확인하길 원하는 사용자는 엑셀 내부에 있는 계산 버튼(‘Predict’)를 선택하기 위해 매크로 활성화 버튼을 선택할 수 밖에 없다.

하지만 해당 누적 계산을 수행하는 정상적인 매크로 코드 하위에는 악성파일을 다운로드하는 난독화 된 코드가 포함되어있다. 이 코드를 복호화 후에 CMD 명령을 확인 할 수 있다.

현재는 다운로드되지 않아 추가 악성코드의 기능에 대해서는 확인이 불가하지만 위 명령에서 확인 할 수 있는 것처럼 ‘certutil –decode’를 사용하는 것으로 보아 BASE64로 인코딩된 파일이 다운로드되어 해당 코드로 디코딩 후 동작할 것으로 보인다.

나아가 ASEC 분석팀에서는 이러한 형태의 동작 방식의 악성코드 유포가 HWP에서도 이루어지는 정황을 확인하였다. 그 내용을 아래에 추가 설명하고자 한다.

HWP 한글 파일에서 특정 네트워크로 악성코드 다운로드 시도하는 로그를 확인 할 수 있는데 위의 엑셀 파일과 유사한 주소의 형태로 접근을 시도한다.