SteamCleaner는 Steam 클라이언트 사용 후 남는 불필요한 파일을 정리해 주는 오픈소스 유틸리티로, 2018년 9월을 끝으로 더 이상 업데이트되지 않고 있다. 이 SteamCleaner를 위장한 악성코드에 감염되면 악성 Node.js 스크립트가 사용자 PC에 상주하며, C2 서버와 주기적으로 통신하고, 공격자가 내리는 명령을 실행할 수 있는 상태가 된다.

[그림 1] 깃허브(GitHub)에 공개된 SteamCleaner 소스

공격자는 원본 소스 코드에 악성코드를 추가한 뒤 다시 빌드하고, 이를 InnoSetup 인스톨러로 패킹한후 유효한 인증서로 서명해 유포했다. 사용자가 해당 파일을 실행하면 공격자가 삽입한 코드가 동작해, 원격 명령을 수행할 수 있는 악성코드를 추가로 설치한다.

[그림 2] 악성코드 서명 및 속성 정보

이 악성코드는 크랙키젠 등 불법 소프트웨어 다운로드 페이지로 위장한 웹사이트에서 리디렉션을 통해 깃허브 리포지토리에 업로드된 악성 파일을 내려 받는 방식으로 유포되고 있다. 동일한 방식으로 유포된 기존 악성코드보다 탐지 수량이 크게 늘어난 점으로 미루어 볼 때, 동일한 악성코드가 여러 채널을 통해 활발히 퍼지고 있는 것으로 추정된다.

[그림 3] 프록시웨어(Proyware) 악성코드 유포 페이지 예시

[유포 URL]

• hxxps://raw.githubusercontent[.]com/erindaude/3O/main/Setup.exe

위 URL 이외에도, 공격자는 특정 GitHub 계정에 다수의 리포지토리를 생성한 뒤, 동일 유형의 악성코드를 다수 업로드하고 유포 경로로 활용하고 있다.

악성코드는 ‘Setup.exe’ 파일명으로 다운로드되며, 실행 시 C:\Program Files\SteamCleaner\ 경로에 악성코드를 설치한 뒤 동작을 시작한다. 이때 설치된 악성코드가 SteamCleaner를 변조해 빌드한 악성 실행 파일이며, 해당 파일에는 별도의 서명이 존재하지 않는다.

[그림 4] 악성코드 설치 경로

정상 SteamCleaner 실행 파일과 비교해 보면, 원본 코드는 그대로 유지한 상태에서 악성 행위를 수행하는 클래스와 메서드를 덧붙여 다시 빌드한 구조임을 확인할 수 있다.

[그림 5] 프록시웨어 악성코드 구조(좌) 및 정상 파일 구조(우)

공격자가 추가한 악성코드는 다수의 안티 샌드박스 기능이 포함돼 있다. 시스템 정보 확인, 포트 개수 확인, WMI 쿼리, 특정 파일경로 존재 여부 확인, 프로세스 및 모듈 점검, Sleep 동작 확인 등의 기법을 활용한다. 이 때문에 샌드박스 한경으로 판단되면 악성 행위를 수행하지 않고, 겉으로는 정상 프로그램처럼 원본 SteamCleaner만 실행되도록 동작한다.

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/36006