IcedID 악성코드 전달 위해 웹사이트 내 문의 기능 악용돼

 

 

Hackers Using Website's Contact Forms to Deliver IcedID Malware

 

마이크로소프트가 조직 내에 이메일을 통해 가짜 법적 협박이 포함된 악성 링크를 전달하기 위해 웹사이트 내 문의 기능을 악용하는 독특한 공격 캠페인에 대해 경고했습니다.

 

이는 합법적인 인프라를 악용하여 보안 보호를 우회하는 공격적인 캠페인의 또 다른 사례입니다.

 

마이크로소프트의 위협 인텔리전스 팀은 지난 금요일 블로그를 통해 아래와 같이 밝혔습니다.

 

“이메일은 수신자에게 링크를 클릭해 그들의 혐의를 입증하는 증거를 확인하라고 속입니다. 하지만 링크를 클릭할 경우 정보 탈취 악성코드인 IcedID 다운로드로 이어집니다.”

 

IcedID는 윈도우 기반 뱅킹 트로이목마로 정찰 및 은행 자격 증명 유출에 사용되며 원격 C2 서버에 연결해 랜섬웨어, hands-on-keyboard 공격을 수행하는 악성코드와 같은 추가 페이로드를 배포하고, 크리덴셜을 훔치고, 취약한 네트워크에서 측면 이동할 수 있는 기능을 포함하고 있습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/>

 

 

마이크로소프트 연구원들은 공격자들이 CAPTCHA 보호를 우회하여 기업 내 문의 양식을 악용하여 자동으로 이메일을 보내는 툴을 사용한 것으로 추측했습니다.

 

해당 이메일은 피해자를 협박하기 위해 피해자가 “동의 없이 이미지/일러스트를 사용했으며 법적 조치가 취해질 것”이라 주장하고 있었습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/>

 

 

위 감염 체인에서는 사용자가 구글 자격 증명을 이용하여 로그인 해야하는 sites.google.com 페이지 링크를 클릭하면 ZIP 압축 파일이 자동으로 다운로드됩니다.

 

해당 ZIP 파일에는 IcedID 악성코드를 다운로드하는 난독화된 자바스크립트 파일이 포함되어 있습니다. 이 악성코드는 Cobalt Strike 등 2단계 툴을 다운로드 할 수 있는 기능이 있어 피해자는 더욱 큰 위험에 빠질 수 있습니다.

 

“이 시나리오를 통해 정교한 공격자들의 기술이 얼마나 발전했는지를 엿볼 수 있으며, IcedID와 같은 위험한 악성코드를 배포하려는 목표를 여전히 수행 중이라는 사실을 알 수 있습니다. 이들이 기업 문의 양식을 사용한다는 점에 주목해야합니다. 이러한 방식을 통해 악성 이메일에 일반적으로 추가되는 표식을 없애 이메일이 합법적으로 보이도록 하기 때문입니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.Script.Gen', 'Trojan.IcedID.gen'으로 탐지 중입니다.  

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/hackers-using-websites-contact-forms-to.html

https://www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/