상세 컨텐츠

본문 제목

페이스북 메신저로 전달되는 비디오 위장 악성파일 가상화폐 채굴 기능 주의

악성코드 분석 리포트

by 알약(Alyac) 2017. 12. 18. 11:11

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 주말부터 동영상 파일로 위장한 악성프로그램이 페이스북(Facebook) SNS 메시지를 통해 다수 전파되고 있어 각별한 주의가 필요합니다.





이번에 발견된 악성파일은 주로 페이스북 친구들에게 전파되었으며, 'video_(임의의 숫자 조합).zip' 형태가 사용되었습니다.



[그림 1] 페이스북 메신저로 유포된 악성파일 주의 내용



만약 페이스북 이용자가 메신저로 해당 파일을 다운로드해 압축을 해제한 후 실행할 경우 감염이 이뤄지게 됩니다.


악성파일은 비디오 동영상 파일처럼 위장하고 있지만, 실제로는 2중 확장자의 Video_(임의의 숫자 조합).MP4.EXE 실행파일입니다. 



[그림 2] 동영상 압축 파일로 위장한 악성파일 화면



악성파일 역시 동영상 파일 아이콘으로 위장하고 있으며, Autoit 프로그램으로 제작되어 있고, 인터넷이 연결되어 있지 않거나 페이스북 조건이 성립되지 않으면 오류 메시지가 나타날 수 있습니다.



[그림 3] 악성 파일 아이콘 화면과 오류 메시지 창



Autoit 스크립트는 분석을 방해하기 위해 코드 내부의 스트링 값들을 난독화해 두었으며, 특정 해외 사이트와 통신을 하고 동영상 재생에 필요한 코덱 파일처럼 위장한 'codec.exe' 악성파일을 추가 다운로드해 실행합니다.



[그림 4] Autoit 내부 난독화 코드 화면



그리고 원래 동영상으로 위장했던 악성 파일도 'updater.exe' 파일명으로 복사본을 생성합니다.



생성 경로 : C:\Users\(이용자계정)\AppData\Roaming\User



 [그림 5] 코덱 파일로 위장한 악성 파일 화면



이러한 악성파일에 감염되면 본의 아니게 SNS 지인들에게 악성파일 유포자가 될 수 있으며, 가상화폐 채굴 기능으로 인한 컴퓨터 리소스 소모나 추가 악성 파일에 따라 개인 정보 유출 등의 피해를 입을 수도 있습니다.


'codec.exe' 파일이 실행되면 동일 경로에 'miner.exe' 파일을 하기 경로에서 다운로드해 실행하고 모네로 가상화폐 채굴 기능을 작동합니다.



다운로드 경로 : hxxp://mabmw.vijus.bid/api/apple/miner.exe




[그림 6] 가상화폐 채굴 기능 작동 화면



알약에서는 Trojan.Autoit.973824 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.




관련글 더보기

댓글 영역