감염시킨 후 네 개 파일 드롭...모든 드라이브에 복제
이름은 포퍼스키...의미는 ‘가짜 카스퍼스키’...사용자들 쉽게 속아

[보안뉴스 문가용 기자] 크리덴셜을 훔치는 멀웨어가 새롭게 발견됐다. 재미있는 건 이 멀웨어가 카스퍼스키의 백신 제품인 것처럼 위장되어 있다는 것이다. 이 멀웨어는 현재 USB를 통해 퍼지고 있으며, 보안 업체 사이버리즌(Cybereason)이 발견했다.


사이버리즌은 이 멀웨어의 이름을 ‘가짜 카스퍼스키’라는 의미로 ‘포퍼스키(Fauxpersky)’라고 지었다. “포퍼스키는 기본적으로 키로거의 일종이며 AutoIT 혹은 AutoHotKey로 작성되었습니다. 윈도우 환경에서 자동화 기능을 가진 간단한 프로그램을 만들 때 자주 사용되는 툴이죠.”

포퍼스키에 감염된 시스템들에서 사이버리즌 분석가들은 드롭된 파일 네 개를 발견할 수 있었다. 윈도우 시스템에서 흔히 볼 수 있는 파일들과 이름이 묘하게 비슷한데, 1) Explorers.exe, 2) Spoolsvc.exe, 3) Svhost.exe, 4) Taskhosts.exe가 바로 그것이다.

포퍼스키는 실행 후 제일 먼저 기기 내 드라이브 목록을 작성한다. 그리고 각 드라이브에마다 스스로를 복제해 넣는다. 그렇게 함으로써 기기에 연결된 모든 외부 드라이브들로 스스로를 퍼트리는 것이다. 또한 포퍼스키는 외부 드라이브들의 이름도 바꾼다. 포퍼스키가 가지고 있는 네이밍 체제에 맞추기 위해서다. 또한 autorun.inf 파일도 하나 생성해 배치 스크립트가 이 파일과 연결되도록 한다.

사이버리즌에 의하면 Explorers.exe에는 CheckRPath()라는 함수가 있다. 이 함수는 연결된 드라이브들의 존재를 확인하고, 또한 발견된 드라이브들 안에서 위 네 가지 파일이나 autorun.inf 파일이 존재하는지를 확인한다. 그리고 그러한 파일들이 없으면 생성하는 것까지 담당한다. 생성하고 나서는 파일들의 특성을 ‘숨김’으로 조정하고 필요에 따라 디렉토리도 만든다. 이 디렉토리들의 특성은 읽기 전용, 시스템, 숨김이다.

포퍼스키가 새로운 저장소나 드라이브로 복제될 때마다 필요한 파일들을 제대로 설치하기 위해 공격자들이 선택한 방법은 매우 간단하고 기초적이다. 텍스트파일을 통해 사용자에게 “설치가 제대로 되지 않으면 백신을 끄라”는 안내 문구를 내보내는 것이 거의 전부다(사용자는 카스퍼스키 백신 프로그램을 설치하고 있는 것으로 착각하고 있다).

키로깅을 하기 위해 포퍼스키가 사용하는 파일은 svhost.exe이다. 이 파일은 윈도우 내에서 AHK의 함수 중 하나인 WinGetActiveTitle()과 input() 함수의 사용 현황을 모니터링한다. 키스트로크들은 Log.txt에 기록되며, 이 파일은 %APPDATA%\Kaspersky Internet Security 2017 디렉토리에 저장된다.

또한 포퍼스키는 시스템에 오래 머물고 싶어 한다. 그래서 멀웨어가 작동하는 디렉토리를 %APPDATA%로 바꾸고 Kaspersky Internet Security 2017이라는 폴더를 새로 만든다. 그러면서 %APPDATA% 폴더 내에 필요한 모든 파일들이 있나 꼼꼼하게 확인하고 없는 것을 복사한다.

Spoolsvc.exe 파일은 레지스트리 킷값을 바꾸는 역할을 한다. 숨김 처리 된 파일이 노출되는 일이 없도록 하기 위해서다. 또한 explorers.exe 파일이 제대로 실행되고 있는지 확인하고, 그렇지 않을 경우 실행시키는 기능도 가지고 있다.

키로깅 데이터를 빼낼 때는 구글 양식을 사용한다. 이 때문에 공격자는 익명 처리된 C&C 서버를 유지하는 수고를 덜게 된다.

“포퍼스키는 그리 고급스럽거나 은밀하지 않습니다. 하지만 효과가 침투 효과가 매우 좋은 편입니다. 상당히 많은 USB들이 이에 감염되고 있고 수많은 키로깅 정보가 수집되고 있습니다. 왜일까요? 당하는 입장에서 너무 쉽게 속아주기 때문입니다.” 사이버리즌의 결론이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>