더욱 정교하게 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다.

정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다.

https://asec.ahnlab.com/1348

다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면 의심할 수 있는 여지가 존재하였다.

하지만 이번에 확인된 메일은 사용자가 평소 수신하는 메일의 내용을 사용하여 첨부파일을 변경한 형태로 아주 교묘해졌다. 사용자는 평소 자신이 수신하던 내용의 메일이기 때문에 피싱 메일에 대한 경계를 하고 있더라도 아무 의심없이 첨부된 파일을 실행할 것이다.

메일을 통한 첨부 파일 실행에 더욱 큰 주의가 필요해지고 있는 현실이다. 아래의 [그림1]은 그동안 작성되었던 메일 폼이다.

[ 그림 1] –  기존에 유포되던  Formbook  피싱 메일

내용의 정교함이 떨어지고 자세한 설명이 누락되어 있어 평소 피싱 메일에 대한 경계심이 있고 자사 블로그를 관심있게 확인한 사용자라면 충분히 의심할 수 있어 첨부 파일을 실행하는데 주의를 기울 일 수 있었다.

하지만 위에서 언급했듯 이번에 확인 된 메일은 사용자가 평소 수신하는 내용에 악성코드를 첨부한 형태로 사용자가 별다른 의심없이 실행하도록 유도하였다.

[ 그림 2] –  정교한 내용의  Formbook  유포 메일

첨부된 악성코드는 img확장자의 이미지 파일로 내부에 해당 악성코드를 포함하고 있다. 이 악성코드는 Guloader로 알려진 다운로더로 hxxp://otumbaonline.webredirect.org/uploud/5bab0b1d864615bab0b1d864b3/bin_DhzkcYxrT145.bin에서 추가 이미지를 다운로드하여 복호화 후 메모리 상에서 동작한다. 정상 프로세스에 인젝션되어 동작하며 최종 다운로드되어 실행되는 Formbook 악성코드는 hxxp://www.doneym.com/izz/로 접속시도 한다.

앞으로 사용자들의 강화된 주의가 필요하며 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신버전으로 업데이트하여 악성코드의 감염을 사전에 차단 할 수 있도록 신경써야 한다.

자사에서는 파일에 대한 진단 뿐 아니라 실행 시 Formbook이 동작하지 못하도록 메모리 진단을 수행하고 있어 설사 사용자가 실행하였더라도 악성 행위 발현 전 차단이 가능하다.

현재 자사 V3제품에서는 해당 악성코드를 아래와 같이 진단 중이다.

[파일 진단]

  • Trojan/Win32.VBKrypt.R346110

[프로세스 메모리 진단]

  • Trojan/Win32.Formbook.XM52

[관련 IOC정보]

[HASH]

  • 113ec527c9c18868afeb78cd9a3e1b45

[C2]

  • hxxp://otumbaonline.webredirect.org/uploud/5bab0b1d864615bab0b1d864b3/bin_DhzkcYxrT145.bin
  • hxxp://www.doneym.com/izz/
0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments