가짜 코로나19 관련 세금 감면 혜택 미끼를 사용하는 QNodeService 트로이목마 발견

QNodeService Trojan spreads via fake COVID-19 tax relief

연구원들이 코로나19 관련 주제를 사용하는 피싱 캠페인에서 새로운 악성코드인 QNodeService를 발견했습니다. 

이들은 미끼를 통해 세금 감면을 해주겠다고 사용자를 속였습니다.

이 피싱 메시지는 트로이목마를 포함하는 “Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar”파일을 사용했습니다.

트렌드마이크로는 QNodeService 트로이목마가 Node.js로 작성되었으며 .jar 파일에 내장된 Java 다운로더를 통해 배포된다고 경고했습니다.

Node.js는 주로 웹 서버 개발용으로 설계되었으며 공격 대상이 될 기기에 미리 설치되지 않을 것이기 때문에 상용 악성코드를 작성하는 제작자들이 잘 사용하지 않습니다. 

하지만 흔하지 않은 플랫폼을 사용하여 안티바이러스 소프트웨어의 탐지를 피했을 수 있습니다.

QNodeService는 파일 다운로드/업로드/실행, 크롬/파이어폭스 브라우저에서 크리덴셜 탈취, 파일 관리 등 다양한 기능을 갖추고 있었습니다.

또한 이 악성코드는 IP 주소와 위치를 포함한 시스템 정보를 훔치고, 추가 악성 페이로드를 다운로드하고, 훔친 데이터를 유출하는 등의 기능이 가능했습니다. 

실제 악성코드는 윈도우 시스템만을 노리고 있지만, 연구원들은 개발자가 이 악성코드를 추후 크로스 플랫폼 공격으로 진화시키고 있는 것으로 추측했습니다.

미끼 문서 내 Java 다운로더는 Allatori를 통해 난독화되었습니다. 

해당 악성코드는 Node.js 악성코드 파일 (“qnodejs-win32-ia32.js” 또는 “qnodejs-win32-x64.js”)과 “wizard.js” 파일을 다운로드합니다.

타깃 기기의 시스템 아키텍처의 따라 Node.js의 32비트 또는 64비트 버전이 드롭됩니다.

Wizard.js 파일은 “Run” 레지스트리 키 엔트리를 실행하여 지속성을 얻고 다른 악성 페이로드를 다운로드하기 위해 난독화된 Javascript(Node.js) 파일을 사용합니다.

QNodeService가 사용하는 흥미로운 기능 중 하나는 “http-forward” 명령을 지원한다는 것입니다. 

공격자는 이를 통해 피해자 기기에 직접 연결하지 않아도 파일을 다운로드할 수 있습니다.

코로나19를 이용한 공격은 전 세계의 개인, 기업 및 조직을 끊임없이 노리고 있어 사용자들의 각별한 주의가 필요합니다.

현재 알약에서는 해당 악성 샘플에 대해 'Trojan.JAVA.Agent.Gen, Trojan.Script.Agent'으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/103302/malware/qnodeservice-coronavirus-phishing.html

https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/