TrickBot, 가짜 WHO 코로나바이러스 이메일 미끼로 사용

TrickBot targets Italy using fake WHO Coronavirus emails as bait

새로운 스팸 캠페인이 이탈리아의 사용자들을 공격하고 있습니다. 이는 코로나19(covid19)에 대한 사람들의 관심을 악용하여 TrickBot 인포스틸링 악성코드를 확산시키고 있습니다.

이들은 세계보건기구(WHO)의 의사인 Penelope Marchetti 박사가 보낸 것으로 위장하며 제목은 “Coronavirus: Informazioni importanti su precauzioni.”인 스팸메시지를 보냅니다.

Sophos는 “이 이메일에는 감염을 예방하기 위한 조치가 담겨있다고 주장하는 문서가 첨부되어 있습니다. 하지만 이 파일은 무기화된 Word 문서로 새로운 Trickbot 변종을 배포하는 드롭퍼를 포함하는 VBA 스크립트를 담고 있습니다.”라 밝혔습니다.

아래는 이탈리아어로 작성된 이 이메일의 내용입니다:

Gentile Signore/Signora,

A causa del fatto che nella Sua zona sono documentati casi di infezione dal coronavirus, l'Organizzazione Mondiale della Sanità ha preparato un documento che comprende tutte le precauzioni necessarie contro l'infezione dal coronavirus. Le consigliamo vivamente di leggere il documento allegato a questo messaggio!

Distinti saluti, 

Dr. Penelope Marchetti (Organizzazione Mondiale della Sanità - Italia)

이 메시지에는 무기화된 Word 문서가 포함되어 있습니다. 이 문서를 오픈하면 피해자에게 ‘콘텐츠 사용’ 버튼을 클릭하여 문서의 내용을 제대로 확인하라는 내용이 표시됩니다.

버튼을 클릭하면 내장된 매크로가 실행되며 악명 높은 Trickbot 악성코드를 다운로드하는 드롭퍼 역할을 하게 됩니다.

아래는 매크로를 활성화 후 실행되는 공격입니다:

- 문서 내 인코딩된 파일을 디스크로 옮깁니다. (VBA 매크로 파일 (vbaProject.bin) 및 기타 워드 관련 XML 파일) 매크로는 난독화된 JavaScript(jse) 파일을 포함하고 있습니다.

- 이는 원격 서버(일부 샘플에서는 hxxps://185[.]234.73.125/wMB03o/Wx9u79.php)의 PHP 스크립트에 다시 연결하여 HTTP GET 요청의 변수를 통해 공격 대상의 IP 주소 및 기본 정보를 넘깁니다.

- 매크로 파일을 호출합니다. 매크로 스크립트는 정식 VBA 스크립트의 코드를 통해 난독화되어 있으며, 실제 기능은 자바스크립트 드롭퍼와 WSH(Windows Script Host) 명령 줄 툴인 cscript.exe와 함께 드롭퍼를 실행하는 .bat 배치파일을 생성하는 것입니다.

공격자는 TrickBot을 이용하여 해킹된 시스템에서 정보를 수집하고 동일 네트워크상의 다른 기기를 감염시키기 위한 측면 이동을 시도합니다.

이후 Ryuk 랜섬웨어를 배포하여 추가 수익을 발생시키려 시도합니다.

현재 알약에서는 해당 악성코드들에 대해  Trojan.Trickster.Gen, Trojan.JS.Downloader.Agent로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/99071/cyber-crime/coronavirus-spam-covid-19.html

https://news.sophos.com/en-us/2020/03/04/trickbot-campaign-targets-coronavirus-fears-in-italy/