국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드

최근 들어 국내 기업을 사칭한 이메일로 유포되는 악성코드가 증가하고 있다. 메일 내용은 수신인을 고려하여 절묘하게 작성되어 있어서, 공격 대상의 악성코드 실행 가능성을 높였다. 이메일은 lzh, r22 등의 압축 파일 포맷으로 된 첨부 파일로 포함하고 있다. 기존에 zip, egg 등의 좀 더 일반적인 파일 포맷을 이용한 것과는 비교되는 특징이다. 압축 파일 내부에는 악성 exe 실행 파일이 있고, 공격 대상이 이를 실행할 경우 악성 기능이 실행된다. 아래는 2월 10일 유포되었던 이메일이다.

exe 실행 파일은 Visual Basic으로 만들어져 있다. 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더(Builder)를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과 동작 방식이 단기적으로 같은 특징이 있다. 이번에 유포된 악성코드는 Visual Basic 외형을 하지만, 실질적인 악성 행위는 윈도우 .NET 프레임워크 파일(Microsoft .NET Assembly Registration Utility)인 RegAsm.exe 프로세스에 악성코드를 인젝션하여 실행된다.

인젝션 된 RegAsm.exe 프로세스는 웹 주소에 접속하여 인코딩 된 악성 바이너리를 다운로드 하고, 이를 디코딩한 뒤 최종 페이로드를 실행한다. 이 때 접속하는 주소는 OneDrive나 Google Drive 등의 클라우드 스토리지 서비스를 이용하였다. 즉, 이메일로 유포된 Visual Basic 악성코드는 인젝션을 통해 다운로드 기능을 수행한다.

https://onedrive.live.com/download?cid=569F732A389E1EA2&resid=56<생략&gt;

https://drive.google.com/uc?export=download&id=1Dh<생략&gt;

최종 페이로드는 ‘NanoCore’ 이름의 .NET 악성코드로, 사용자의 정보 유출과 원격 제어 기능이 있다. 단독 exe 파일 형태로 존재하지 않고 프로세스 메모리 상에 존재하여, 사용자의 인지와 안티바이러스 제품의 탐지가 어렵게 하였다.

안랩 V3 제품군에서는 위 유형의 악성코드를 다음과 같이 탐지하고 있다.

  • Trojan/Win32.VBInject (2020.02.10.6)
  • Malware/Win32.Generic (2020.02.10.07)
  • Win-Trojan/NanoCore.Exp
  • Win-Trojan/VBKrypt02.mexp
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments