포스팅 내용

악성코드 분석 리포트

정보 탈취 악성코드를 다운로드하는 '피고 소환장' 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 정보 탈취 악성코드를 다운로드하는 '피고 소환장' 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다.



이번에 발견된 악성 메일은 지난 GandCrab 랜섬웨어 유포에 사용된 악성 메일과 동일하며, 통지서로 위장한 첨부 파일 실행을 유도합니다.


[그림 1] 피고 소환장으로 위장한 악성 메일


첨부파일 'CV789507.zip'에는 악성 자바 스크립트 파일인 'CV789507.jse' 파일이 담겨져 있습니다. 


[그림 2] 첨부 파일 'CV7898507.zip'


만일 이용자가 jse 파일을 통지서로 착각하고 실행할 경우, 아래의 C&C에서 데이터를 가져온 뒤, 임시폴더(%TEMP%)에 '[임의의 숫자].scr'로 드롭 및 실행하는 기능을 가집니다.


[그림 3] C&C에서 악성코드를 다운받는 코드


http://www.edwardsofficesystems[.]com/logs/dropper[.]bin

http://www.stephenfett[.]com/license/stop[.]rtf

[표 1] C&C 주소


현재 다운로드가 되지 않지만, 만일 다운로드가 되어 악성코드가 실행될 경우 감염 기기의 시스템 정보와 웹 브라우저 정보를 탈취해 C&C(login.giocherialaragnatela.it/azs/index[.]php)로 전송하는 기능을 수행합니다.


다음은 정보 탈취 기능으로, 감염 기기의 시스템 정보 수집 코드와 웹 브라우저에 저장된 아이디 및 비밀번호를 탈취하는 코드입니다.


[그림 4] 웹 브라우저에 저장된 아이디 및 비밀번호 수집 코드


[그림 5] 감염 기기 시스템 정보 수집 코드


수집된 정보를 C&C로 전송하는 코드는 다음과 같습니다.


[그림 6] C&C 전송 코드


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 관련 샘플을 'Trojan.JS.Downloader.Agent, Spyware.Infostealer.Azorult'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage