꿈을꾸는 파랑새

오늘은 KMSPico 윈도우 정품 인증툴 설치 시 가상 화폐 지갑 탈취에 대해 알아보겠습니다. KMSpico 이라는 프로그램은 윈도우 및 마이크로소프트 오피스를 정품인증 하려고 공식 절차 즉 돈을 내고 합법적으로 구매하지 않고 Windows 및 Microsoft Office를 정품 인증을 하려고 사용을 하는 도구입니다. 일단 해당 악성코드는 https://www.official-kmspico(.)com/
으로 유포를 되고 있으며 저 같은 경우 KMSpico.zip로 다운로드가 이루어졌습니다. 그리고 나서 해당 압축 파일을 실행하면 백신 프로그램(안티바이러스 프로그램)에 다운로드 시 탐지되지 않게 하려고 암호로 돼 있으며 PASSWORD.txt이라는 텍스트가 존재하며 해당 텍스트 파일을 열어 보면 official-kmspico(.)com 으로 암호를 풀 수가 있는 비밀번호를 확인할 수가 있습니다. 텍스트 내용은 다음과 같습니다.
This file is password protected to avoid leachers. 
please use the below given password to extract/unzip the exe file.
password is:official-kmspico(.)com

KMSpico 유포 사이트
KMSpico 유포 사이트

RedCanary 에서 분석한 악성 KMSPico 설치 프로그램은 7-Zip과 같은 자동 압축 풀림 실행 파일로 제공되며 실제 KMS 서버 에뮬레이터와 모두 포함을 하고 있으며 그리고 사용자가 해당 악성코드를 설치하면 Cryptbot를 배포를 하기 시작을 합니다.

RedCanary PDF 분석 결과
일단 기본적으로 WinRar Sfx v5.40 - 5.9x 으로 돼 있는 것을 볼 수가 있습니다.
그리고 악성코드 해쉬값은 다음과 같습니다.

KMSPico 설치
KMSPico 설치

파일명:KMSpico.exe
사이즈:6.60 MB
CRC32:fa9c6d9d

[소프트웨어 팁/보안 및 분석] - 윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견

 

윈도우 정품 인증 툴 KMSpico에 포함이 된 가상화폐 채굴 악성코드 발견

오늘은 아마도 윈도우 정품을 구매하지 않고 윈도우 정품 인증을 하려고 사용을 하는 윈도우 정품 인증 툴 KMSpico에서 가상화폐 채굴 악성코드가 포함되었다는 소식입니다. 가상화폐 모네로를

wezard4u.tistory.com

MD5:10770d2f25975252e2f045d6d48009b0
SHA-1:ca36d1583a7983ce515ce8af966b8e50b050bca3
SHA-256:9e2d2c5477f035eab009562feb4ad93e9cc1451b54e107caed9bd1696797eb0a

KMSPico 압축 파일 및 비밀번호
KMSPico 압축 파일 및 비밀번호

해당 악성코드를 실행하면 C:\Program File\jumart1 폴더에 KMSpico.exe,Setup.exe,Setup1.exe 파일이 생성되는 것을 볼 수가 있고 
http://tispab74(.)top/index.php(46.16.13(.)154)
http://morypv07(.)top/index.php(45.147.201(.)109)
으로 연결이 됩니다.

악성코드 생성 프로그램
악성코드 생성 프로그램

C:\Program Files\KMSpico 폴더가 생성되고 KMSELDI.exe 가 실행이 됩니다. 그리고 해쉬값은 다음과 같습니다.

Exeinfope 정보
Exeinfope 정보

파일명: KMSELDI.exe
사이즈: 921 KB
CRC32: eb6d615a
MD5: f0280de3880ef581bf14f9cc72ec1c16
SHA-1: 43d348e164c35f9e02370f6f66186fbfb15ae2a3
SHA-256: 50ebfa1dd5b147e40244607d5d5be25709edf2cc66247a78beb920c77ac514cc

KMSpico 설치 폴더
KMSpico 설치 폴더

그리고 해당 Cryptbot은 다음 데이터에 접근을 해서 개인정보를 수집합니다.

KMSpico 악성코드 실행
KMSpico 악성코드 실행

Atomic cryptocurrency wallet(아토믹 웰렛)
Avast Secure web browser(어베스트 시큐리티 웹 브라우저)
Brave browser(브레이 브라우저)
Ledger Live cryptocurrency wallet(렛저 라이브 웰렛)
Opera Web Browser(오페라 브라우저)
Waves Client and Exchange cryptocurrency applications(Waves 클라이언트 및 Exchange 암호화폐 애플리케이션)
Coinomi cryptocurrency wallet(코인노미 암호화폐 지갑 )
Google Chrome web browser(구글 크롬 브라우저)
Jaxx Liberty cryptocurrency wallet(잭스 리버티 암호화폐 지갑)
Electron Cash cryptocurrency wallet
Electrum cryptocurrency wallet(일렉트럼 암호화폐 지갑 )
Exodus cryptocurrency wallet(엑소더스 암호화폐 지갑)
Monero cryptocurrency wallet(모네로 암호화폐 지갑 )
MultiBitHD cryptocurrency wallet(MultiBitHD 암호화폐 지갑 )
Mozilla Firefox web browser(파이어폭스 브라우저)
CCleaner web browser(CCleaner 브라우저)
Vivaldi web browser(비발디 브라우저)
입니다.

KMSpico 검색 엔진을 통한 악성코드 유포
KMSpico 검색 엔진을 통한 악성코드 유포

즉 쉽게 이야기하며 KMSPico 정품 인증 도구를 확인하는 과정에서 가상 화폐 채굴 또는 가상화폐 지갑에 있는 가상화폐를 훔치려고 시도를 합니다. 
KMSPico 정품 인증 도구는 될 수 있으면 사용하지 않는 것이 가장 안전하며 백신 프로그램에서 탐지하여도 정품 인증툴 특성상 진단한다고 무시하는 경향이 매우 강할 수 있다는 점에서 더욱 주의해야 하면 쉽게 이야기하면 윈도우, 마이크로소프트 오피스 등과 같은 프로그램은 돈을 주고 합법적으로 구매하는 것이 제일 안전하게 컴퓨터를 사용하는 방법일 것입니다. KMSpico.exe은 바이러스토탈 에서는 여러 백신 업체들이 다음과 같이 진단을 하고 있습니다.
AhnLab-V3Unwanted/Win.RPCHook.R454245
ALYac:Gen:Trojan.Heur.GM.0000436180
Antiy-AVL:RiskWare[NetTool]/Win64.RPCHook
Arcabit:Trojan.Heur.GM.D6A7D4
Avast:Win32:MiscX-gen [PUP]
AVG:Win32:MiscX-gen [PUP]
Avira (no cloud):TR/AD.GenSteal.ijlvy
BitDefender:Application.Hacktool.KMSAuto.N 
그리고 사람들이 사이트에 접속하는 것을 막으려고 Google 세이프 브라우징, Emsisoft, 마이크로소프트 스마트스크린(Microsoft Defender SmartScreen,마이크로소프트 디펜더 스마트스크린),Bitdefender(비트디펜더)에 신고를 했습니다. 즉 정품을 사용하는 것이 개인정보 및 자신의 컴퓨터가 가상화폐 채굴에 이용당하거나 또는 가상화폐 도난당하는 것을 막을 수가 있을 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band