새로운 IcedID 뱅킹 트로이목마 변종, 코로나19 미끼 통해 배포돼

A new variant of the IcedID banking Trojan spreads using COVID-19 lures

새로운 버전의 IcedID 뱅킹 트로이목마 변종이 코로나19를 미끼로 사용하는 공격을 통해 배포되고 있는 것으로 나타났습니다. 

이 새로운 변종은 피해자를 감염시키고 탐지를 피하기 위해 스테가노그라피 기술을 사용합니다.

Juniper Threat Labs의 연구원들은 미국의 사용자들을 노리는 코로나19 테마 스팸 캠페인을 발견했습니다. 새로운 악성코드 버전은 피해자의 웹 활동을 스파잉하는 것도 가능했습니다.

사용자가 무기화된 첨부파일을 오픈하면 IcedID 뱅킹 트로이목마가 로드될 것입니다.

IcedID는 2017년 처음 등장했으며 Gozi, Zeus, Dridex 등 다른 금융 악성코드와 기능이 유사합니다. 

이 악성코드를 처음 분석한 IBM X-Force의 전문가들은 이 공격이 다른 뱅킹 악성코드의 코드를 차용하지는 않았지만 중간자 공격 실행, 피해자의 금융 정보에 인터셉트 및 탈취 등 비슷한 기능을 구현했다고 설명했습니다.

Juniper Threat Labs에서 발견한 최근 캠페인은 Amazon.com, American Express, AT&T, Bank of America, Capital One, Chase, Discover, eBay, E-Trade, J.P. Morgan, Charles Schwab, T-Mobile, USAA, Verizon Wireless, Wells Fargo 등의 크리덴셜 및 지불 카드 데이터를 훔치는 것이 목적입니다.

이 새로운 캠페인은 자신을 숨기기 위해 msiexec.exe로 주입하고, 모듈 및 구성을 다운로드하기 위해 스테가노그라피 기술을 사용하는 것으로 전략을 변경했습니다.

IcedID의 이전 버전은 svchost.exe에 주입되고 암호화된 모듈과 구성을 “.dat” 파일 형식으로 다운로드했습니다.

또한 이 캠페인은 이메일 송신자 이름 및 첨부 파일에 COVID-19 및 FMLA와 같은 키워드를 사용하여 코로나19 팬데믹 상황을 악용했습니다.

<이미지 출처: https://blogs.juniper.net/en-us/threat-research/covid-19-and-fmla-campaigns-used-to-install-new-icedid-banking-malware>

악성 문서를 열면 2단계 로더를 가져오는 1단계 바이너리를 드롭합니다. 

2단계 로더는 3단계 페이로드를 다운로드하는 또 다른 로더를 받아오며, 3단계 페이로드는 리소스에 포함된 내장 바이너리의 압축을 해제하여 실행합니다. 

압축이 해제되면 IcedID 뱅킹 트로이목마의 메인 모듈을 아래 링크에서 PNG 파일 형태로 받아옵니다.

https://cucumberz99[.]club/image?id={01XXXXXXXXXXXXXXXXXXXXXX}

복호화된 코드는 헤더를 포함하고 있지 않기 때문에 완전한 PE 이미지는 아닙니다. 문자열 대부분은 암호화되어 있어 분석이 더욱 어렵게 만듭니다.

2단계 로더는 리소스에 내장된 바이너리 파일을 읽어 자기 자신을 압축 해제 후 복호화하고 메모리 내에서 실행합니다. 이후 WinHTTP 쿼리를 통해 여러 도메인을 반복합니다.

connuwedro[.]xyz를 제외한 모든 쿼리는 정상이었습니다. 이를 통해 정상적인 트래픽과 섞여 탐지를 피하려 시도합니다.

3단계 로더는 타깃 머신에 IcedID를 설치합니다. 이 악성코드는 1시간마다 시작되는 예약 작업을 생성해 지속성을 얻습니다.

IcedID 메인 모듈 코드가 msiexec.exe 프로세스에 주입되면, 이는 C&C 서버에 연결해 명령을 기다립니다. 

이 악성코드 코어의 주요 기능은 웹 인젝션을 통해 금융 데이터를 훔치는 것입니다. IcedID는 아래 브라우저 프로세스를 감시합니다.

Firefox.exe

Chrome.exe

Iexplore.exe

피해자가 브라우저 창을 열면, IcedID 악성코드는 127.0.0.1:56654에서 수신 대기하는 로컬 프락시를 생성하고, 브라우저의 API를 후킹하고, %TEMP% 폴더에 자체 서명된 인증서를 생성합니다.

이 3가지를 통해 브라우저에 대한 모든 연결은 msiexec.exe로 프록싱되며 브라우저를 완전히 제어할 수 있게 됩니다.

이 악성코드는 금융 거래 관련 브라우저 활동을 모니터링하고 신용카드 정보를 훔치기 위해 때를 노려 입력 양식을 주입합니다.

연구원들은 IcedID에 대해 고도로 숙련된 공격자가 개발한 아주 정교한 악성코드라 설명하며 악성 기능을 지속적으로 업데이트하고 있다고 결론지었습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Downloader.DOC.Gen, Trojan.IcedID.gen'으로 탐지 중입니다.

출처:

https://securityaffairs.co/wordpress/105049/malware/icedid-banking-trojan-steganography.html

https://blogs.juniper.net/en-us/threat-research/covid-19-and-fmla-campaigns-used-to-install-new-icedid-banking-malware