정보 탈취형 멀웨어이자 다운로더인 아조럴트, 이전 버전 공개돼
향상된 버전, 다크웹에서 새롭게 나타나 판매되고 있어

[보안뉴스 문가용 기자] 정보 탈취형 멀웨어이자 멀웨어 다운로더인 아조럴트(Azorult)의 새로운 버전이 리그(RIG)라는 익스플로잇 키트를 통해 배포되고 있는 것이 발견됐다.


보안 전문 업체 체크포인트(Check Point)는 보고서를 통해 “이번에 배포되고 있는 아조럴트 3.3 버전은 이전 버전에 비해 상당한 개량을 거친 것”이라고 발표했다. 또한 “10월 초부터 이 업그레이드 버전이 다크웹에서 판매되기 시작했다”고 덧붙이기도 했다.

“사실 업그레이드 되어 나타날 것은 이미 예견된 것이었습니다. 왜냐하면 지난 버전들의 소스코드가 공개됐었기 때문입니다. 즉 분석이 될 대로 되었고, 따라서 공격 툴로서 가치가 떨어진 상태였습니다. 폐기가 되든지, 업그레이드가 되든지, 둘 중 하나일 수밖에 없었죠.”

가장 중요한 변경 사항은 새로운 암호화 기술과 관련되어 있다. 엠베드된 C&C 도메인 문자열과, C&C 서버로 연결하는 새로운 방법도 새롭게 나타났다. 다크웹 광고를 참조하면 다음과 같은 기능들이 첨가됐다.

1) 다음의 지갑 크리덴셜들을 훔치는 기능 : 비트코인골드(BitcoinGold), 일렉트럼지(eletrumG), btc프라이빗(btcprivate), 혹은 일렉트럼-btcp(electrum-btcp), 비트코어(bitcore), 엑소더스 에덴(Exodus Eden)
2) 암호화폐 지갑 관련 탈취 기능이 향상됨.
3) 로더에 있던 오류가 수정되고 기능이 향상됨. 배치 파일 로딩 및 오류 없는 실행 가능함.
4) 백신 탐지율이 낮아짐. 그러므로 설치 성공률 올라감.
5) 관리자 제어판의 기능이 향상됨.

3줄 요약
1. 아조럴트, 이전 버전의 소스코드 공개돼 폐기 처분 위기.
2. 하지만 업그레이드 되어 다시 나타나 등장. 절찬리 판매 중.
3. 암호화폐 지갑 공격하는 기능 향상되고 탐지율 낮아짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>