새로운 비트코인 플랫폼인 것처럼 메일 보내...하지만 악성 파일만 배포
설치되면 사용자 감시 가능...비트코인 지갑 주소나 로그인 정보 알아낼 수 있어

[보안뉴스 문가용 기자] 비트코인의 가치가 오르내리는 가운데, 비트코인 투자자들이 악성 공격자들의 표적이 되고 있다. 보안 업체 포티넷(Fortinet)이 이를 발견해 보안 커뮤니티에 알렸다.


공격은 먼저 피싱 메일로부터 시작한다. 새로운 비트코인 플랫폼 혹은 거래 방식을 소개하는 듯한 이메일로, 이 플랫폼의 이름은 메일에 따라 건봇(Gunbot), 건터랩(GuntherLab), 건티(Gunthy) 중 하나로 바뀐다. 하지만 이 이메일에 진짜로 포함되어 있는 건 오쿠스 RAT(Orcus RAT)이라는 소프트웨어다. 오쿠스라는 기존 소프트웨어에 멀웨어 기능이 추가된 것이다.

메일을 좀 더 자세히 들여다보면 ZIP 첨부파일이 들어있는데(sourcecode.vbs.zip), 이 파일 안에는 간단한 VB 스크립트가 내포되어 있다. VB 스크립트의 기능은 JPG 이미지 파일처럼 위장된 바이너리를 https[:]//bltcointalk.com/flashplayer27pp_ka_install.jpeg로부터 다운로드 받는 것이다. 포티넷에 의하면 “공격 의도를 굳이 감추려고 하거나 분석을 방해하려고 하지 않는다”고 하는데, 그 이유는 “공격자들이 감출 의도나 숨기 위한 기술을 갖추고 있지 않기 때문”인 것으로 보인다.

다운로드가 되는 JPG 이미지 위장 파일은 사실 오픈소스 인벤토리 시스템 툴인 TTJ-인벤토리 시스템(TTJ-Inventory System)의 트로이목마 버전이다. 하드코딩된 키가 암호화된 코드를 복호화하는 데에 사용되며, 복호화된 코드는 또 다른 닷넷 PE(.NET PE) 실행파일로 옮겨져 메모리 내에서 실행된다. 실행 전에 dgonfUsV라는 뮤텍스(mutex)의 존재여부를 확인한다.

오쿠스는 2016년 초반에 원격 관리 툴(RAT)로서 세상에 모습을 나타냈다. 정상 소프트웨어로서 암시장 같은 곳에서 거래되던 소프트웨어가 아니다. 그럼에도 일반 RAT가 가지고 있는 모든 기능들을 다 가지고 있었으며, 플러그인을 로딩하고 C#과 VB.net 코드를 원격에서 실시간으로 실행하는 것도 가능하다.

건봇인줄 알고 오쿠스를 설치하면 어떤 일이 벌어질까? 포티넷은 다음과 같이 설명한다. “일단 RAT가 시스템에 설치만 되면, 그 시스템 앞에 공격자가 위치하게 됩니다. 또한 웹캠과 마이크로폰을 사용자 몰래 켜둘 수 있어요. 즉 시스템 사용자의 모든 행동을 듣고, 지켜볼 수 있게 되는 겁니다.”

공격자는 웹캠이 깜빡거리는 것도 막을 수 있다. 즉, 사용자로서는 자신을 누군가가 지켜보고 있다는 걸 알아채기 힘들다는 것이다. 또한 사용자가 해당 악성 프로세스를 비활성화시키려고 하면 ‘죽음의 파란화면(BSOD)’을 발동시킨다.

RAT에는 키로깅 기능도 가지고 있다. 비밀번호를 탈취하는 게 가능하다는 뜻이다. 하지만 이는 다른 RAT에도 존재하는 것으로 그다지 특이할 건 없다. “하지만 오쿠스는 디도스 공격을 추가로 가능케 해주는 플러그인을 설치할 수 있도록 해줍니다. 플러그인 때문에 활용 가능성이 풍부해지는 것이죠.”

최근 오쿠스 공격자들은 멀웨어를 배포하는 웹사이트을 약간 손보기도 했다. 이들은 비트코인과 관련된 것처럼 보이는 웹사이트인 bltcointalk.com을 운영 중인데, 이는 비트코인 관련 포럼인 bitcointalk.org를 흉내 내고 있다. 가장 최신 버전의 멀웨어는 JPG 이미지 파일을 다운로드 받지 않는다고도 한다.

오쿠스 RAT을 개발한 사람들은 ‘관리 툴로서’ 그랬는지 모르겠지만, 실상은 사이버 범죄에 더 많이 활용되고 있다. 포티넷은 “홍보 내용과 다르게 관리 툴 이상의 기능을 가지고 있다”며 “왜 정상 관리 툴로 개발된 소프트웨어에 웹캠의 경고등을 끄거나 죽음의 파란화면을 띄우는 기능이 있는지 의문”이라고 말했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>