포스팅 내용

국내외 보안동향

QBot, PC를 감염시키기 위해 윈도우 디펜더 안티바이러스를 미끼로 사용해

QBot uses Windows Defender Antivirus phishing bait to infect PCs

 

Qbot 봇넷이 악성코드를 배포하기 위해 새로운 템플릿을 사용하기 시작했습니다. 이들은 사용자가 엑셀 매크로를 활성화하도록 속일 목적으로 가짜 윈도우 디펜더 안티바이러스 테마를 사용합니다.

 

QakBot 또는 QuakBot으로도 알려진 Qbot은 은행 자격 증명, 윈도우 도메인 자격 증명을 훔치고 랜섬웨어를 설치하는 공격자들에게 원격 접속을 제공하는 윈도우 악성코드입니다.

 

피해자들은 보통 다른 악성코드에 감염되거나 피싱 캠페인을 통해 Qbot에 감염됩니다. 피싱 캠페인은 가짜 인보이스, 지불 및 은행 정보, 스캔 문서 등 다양한 미끼를 사용합니다.

 

 

<Qbot 스팸 이메일 샘플>

<이미지 출처: https://twitter.com/malware_traffic/status/1313669540727918592>

 

 

이 스팸 메일에는 악성 엑셀(.xls)파일이 첨부되어 있었습니다. 이 첨부파일이 오픈되면 피해자의 컴퓨터에 Qbot 악성코드를 설치하는 악성 매크로를 실행하기 위해 사용자에게 콘텐츠를 활성화하라는 메시지를 표시합니다.

 

사용자가 콘텐츠 활성화버튼을 클릭해 매크로를 활성화하도록 속이기 위해 공격자는 조직 또는 OS에서 만든 것으로 가장하는 템플릿 문서를 사용합니다.

 

825, Qbot윈도우 디펜더 안티바이러스에서 발행한 경고로 위장한 새로운 템플릿을 사용하기 시작했습니다. 이 메일은 해당 문서가 암호화되었다고 주장하고 있었습니다.

 

또한 마이크로소프트 오피스 복호화 코어를 사용하여 문서를 복호화하기 위해서는 편집 활성화또는 콘텐츠 활성화버튼을 클릭해야 한다는 내용도 포함하고 있었습니다.

 

 

<새로운 윈도우 디펜더 안티바이러스’ Qbot 첨부파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/qbot-uses-windows-defender-antivirus-phishing-bait-to-infect-pcs/>

 

 

콘텐츠 활성화 버튼을 클릭할 경우, 악성 매크로가 실행되며 피해자의 컴퓨터에 Emotet 악성코드가 다운로드 및 설치됩니다.

 

사이버 보안 분야, IT 관리자 또는 윈도우 전문 사용자들 눈에는 이 메시지가 허술해 보일 수 있습니다. 하지만 일반 사용자들은 메시지를 따라해 Qbot에 감염될 수 있을 만큼 설득력이 있는 것으로 보여집니다.

 

Qbot 첨부파일을 알아두는 것이 왜 중요할까?

 

지난 몇 달 동안 특히 Emotet 봇넷이 실시한 스팸 캠페인 이후로 Qbot이 점점 더 많이 배포되고 있는 것으로 나타났습니다.

 

Qbot에 감염되면 공격자는 사용자의 은행 계좌, 네트워크에 대한 접근 권한을 얻기 위한 다양한 악성 행위를 수행합니다.

 

공격자가 네트워크에 대한 접근 권한을 얻어내면, ProLock과 같은 랜섬웨어를 시스템에 설치할 것입니다.

 

따라서 Qbot에서 사용하는 악성 문서 템플릿을 미리 알아두어 실수로 감염되지 않도록 하는 것이 중요합니다.

 

현재 알약에서는 해당 악성코드 샘플을 'Trojan.Agent.QakBot', 'Trojan.Downloader.XLS.gen'으로 탐지 중입니다.