포스팅 내용

악성코드 분석 리포트

지속적으로 국내에 유입되는 배송 위장 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 상품 배송 관련 내용으로 위장한 악성 메일들이 국내에서 지속적으로 발견되고 있어 주의를 당부드립니다. 이번에 발견된 메일들은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS'과 'Dhl shipment alert' 제목을 가지고 있습니다. 다음은 각 메일에 대한 분석 정보입니다.



1. DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS 메일


본 메일은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS' 제목을 통해 선적 통지서로 위장하고 있으며, 예약된 배송물의 배송 추적 및 배송물의 자세한 정보 열람 내용으로 첨부 파일 실행을 유도합니다.


[그림 1] 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS' 악성 메일


첨부 파일 'SHIPPING INVOICE DOCUMENTS .pdf.z'에는 'SHIPPING INVOICE DOCUMENTS .pdf.exe' 악성 파일이 있습니다. 해당 악성 파일은 전자 메일, 웹 브라우저, Internet Downloader Manager 등의 프로그램에 저장된 아이디 및 비밀번호 정보를 수집하여 C&C로 전송하는 기능을 가집니다. 


웹 브라우저에 저장된 계정 및 비밀번호를 가져오기 위해 Mail PassView(DVCLAL 3), 전자 메일에 저장된 계정 및 비밀번호를 가져오기 위해 리소스에 있는 WebBrowserPassView(DVCLAL 2)을 사용합니다. 다음은 Mail PassView 및 WebBrowserPassView 화면이며, 파일로 출력하는 인자 '/scomma'로 실행되어 실제 사용자에게 UI는 보여주지 않습니다.


[그림 2] Mail PassView 화면


[그림 3] WebBrowserPassView 화면


다음은 C&C(swarindiamarineinstitute[.]com)로 전송하는 코드 및 전송 화면입니다.


[그림 4] 정보 전송 코드의 일부


[그림 5] 정보 전송 화면



2. Dhl shipment alert 메일


'Dhl shipment alert' 제목의 메일은 운송품이 잘못된 주소로 인해 배송 할 수 없다는 내용을 담고 있으며, 상품 영수증 확인을 위해 첨부 파일의 실행을 유도합니다.


[그림 6] 'Dhl shipment alert' 악성 메일


첨부파일 'DHL_Shipment_file_pdf.gz'에 있는 'DHL_Shipment_file_pdf.exe'는 영수증이 아닌 악성 파일로서, 감염 기기의 시스템 정보와 사용자 PC에 설치된 웹 브라우저에 저장된 아이디 및 비밀번호 정보를 수집 및 암호화하여 'http://etssme[.]com/name/panelnew/gate[.]php'로 전송합니다. 


[그림 7] 운영체제 정보 수집 코드


[그림 8] 웹 브라우저 정보 탈취 코드


[그림 9] C&C로 전송되는 데이터(암호화 전)


[그림 10] C&C에 정보를 전송하는 화면


두 메일에 첨부된 악성 파일은 모두 다른 종류의 악성코드이지만 공통적으로 사용자 PC에서 정보를 수집해 C&C로 전송하는 기능을 가지고 있습니다. 이에 계정 탈취에 의한 피해가 발생할 수 있어 주의가 필요합니다.


따라서 출처가 불분명한 메일에 담긴 첨부 파일 혹은 링크에 대해 접근을 삼가주시기 바랍니다.


현재 알약에서는 관련 악성코드들을 'Trojan.Agent.FormBook'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage