[주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23)

ASEC 분석팀은 1월 23일 채용 시즌에 맞춰 이력서로 가장한 정보유출 악성코드가 국내에 유포 중인 것을 확인하였다. 기존 이력서 가장한 악성코드들은 비너스락커부터 랜섬웨어를 지속적으로 유포하였었는데, 오늘 발견된 이력서 악성코드는 정보유출 (infostealer) 인 점이 가장 큰 특징이다. 파일의 외형적 특징으로는 Bluecrab, Nemty, Paradise 랜섬웨어와 동일한 패커(Packer)를 사용하였다.

유포 파일명

  • 이력서(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe
  • 포트폴리오(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe

파일이 실행되면 %APPDATA%AnyDesk NetworkAnyDesk.exe 로 자가복제 후 실행되며 최초 실행 한 파일은 삭제된다. AnyDesk.exe로 실행 된 파일에 의해 사용자 PC에서 아래 정보들을 탈취한다.

계정정보 탈취 (파일 참조)

  • %AppData%RoamingFTP Explorerprofiles.xml
  • %AppData%RoamingFTPGetterservers.xml
  • %AppData%RoamingMySpaceIMusers.txt
  • %AppData%RoamingDigsbydigsby.dat

계정정보 탈취 (레지스트리 참조)

  • HKEY_CURRENT_USERSoftwareAmerica OnlineAIM6Passwords
  • HKEY_CURRENT_USERSoftwareGoogleGoogle TalkAccounts
  • HKEY_CURRENT_USERSoftwarePaltalk
  • HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows Live Mail
  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfiles
  • HKEY_CURRENT_USERIdentities{DF08B0AE-B012-4165-989C-76E24DE3D330}SoftwareMicrosoftOfficeOutlookOMI Account Manager

실행파일 형태의 유포파일은 아래와 같이 아이콘이 PDF 문서형태로 되어있어 문서파일로 오인하여 실행 할 수있으므로 사용자의 주의가 필요하다.

PDF 문서파일 형태로 위장

해당 악성코드 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다.

프로세스 실행흐름

악성코드는 재부팅 시점에 자동실행을 위해 아래의 레지스트리 키 등록을 시도한다.

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAnyDesk
    • %AppData%RoamingAnyDesk NetworkAnyDesk.exe

추가로 아래와 같은 WMI 쿼리를 수행함이 확인되었다.

  • wmi select * from AntivirusProduct
  • wmi select * from win32_Battery
  • wmi select * from win32_Process
  • wmi select * from win32_ComputerSystem
  • wmi select * from win32_PingStatus where address = ‘pecunia110011.at’
  • wmi select * from win32_NetworkAdapterConfiguration WHERE IPEnabled = True

유출한 정보를 전송하는 곳으로 추정되는 곳은 아래와 같다.

  • hxxp://pecunia110011.at/iteat/gate.php?p=1
  • hxxp://pecunia110011.at/iteat/gate.php?ct=1
  • hxxp://pecunia110011.at/iteat/gate.php?lp=1
  • hxxp://pecunia110011.at/iteat/gate.php?gpb=12
  • hxxp://pecunia110011.at/iteat/gate.php?pcn=12
  • hxxp://pecunia110011.at/iteat/gate.php?lpc=12

현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고있다.

[파일진단]

  • Trojan/Win32.MalPe.R.317762 (2020.01.23.00)
0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments