Spyware.Ursnif 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

‘Spyware.Ursnif’(이하 ‘Ursnif’) 악성코드는 ‘Gozi,’Dreambot’라는 이름의 뱅킹 트로이목마로 알려져 있습니다. 해당 악성코드는 메일 내 첨부된 Microsoft Office 악성 문서 파일에서 유포되는 것으로 알려져 있습니다.

 

본 악성코드는 C&C로 정보 전송 및 추가 페이로드 실행 기능이 있으며, 페이로드의 명령 제어 기능에 따라 OS 파괴, 추가 DLL 실행 등이 있어서 공격자 의도에 따라 이용자의 피해가 발생할 수 있습니다.

 

[그림] 페이로드 디코딩 및 로드 코드 중 일부

만일 기업에서 이 악성코드에 감염될 경우, 추가 악성코드 다운로드나 사용자 정보 탈취 등에 의해 정보 유출 및 시스템 파괴로 이어지는 피해가 발생할 수 있어 주의가 필요합니다.

 

특히나 본 악성코드는 과거에 ‘Ursnif/ISFB’ 이름으로 소스코드가 공개되어, 많은 공격자들이 커스텀하여 사용할 수 있어 여러 변종이 나올 가능성이 높습니다.

 

따라서, 이러한 악성코드 감염을 예방하기 위해서는 출처가 불분명한 메일에 있는 첨부파일에 대해 접근을 삼기는 보안 습관을 가져야 합니다.

 

현재 알약에서는 해당 악성코드를 ‘Spyware.Ursnif’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.