이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다.

  • 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe
  • 저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe
  • 포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe
  • 이력서(경력사항 기재하였습니다 잘 부탁드립니다).exe
  • 포트폴리오_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe
  • 이력서_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe

아래는 최근에 확인된 저작권 위반 관련 위장 메일로, 사용자가 첨부 파일을 실행하도록 유도하는 내용이 포함되어 있다.

유포중인 메일 내용

메일에 첨부된 압축 파일 내부에는 ‘저작권위반 내용.alz’으로 된 압축 파일이 존재하고, 그 내부에 해쉬가 동일한 실행 파일이 두개 존재한다. 각각의 파일명은 아래와 그림과 같으며, SWF 파일 아이콘으로 위장한 악성코드가 존재한다.

압축파일에 존재하는 파일

해당 파일들은 기존에 유포되던 Makop 랜섬웨어의 변형이다. 실행 시 파일이 암호화 되며 파일명에 [일련번호].[vassago0213@airmail.cc].vassago 확장자가 추가된다. 해당 랜섬웨어는 아래 명령을 사용하여 섀도우 복사본을 삭제한 후 파일 암호화를 진행한다.

vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wmic shadowcopy delete
실행 명령어

감염 제외 파일 및 폴더는 다음과 같다.

windows, winnt, \system32, Users\Public, RECYCLER;$RECYCLE.BIN 등
감염 제외 폴더
boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini
감염 제외 파일
Makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc;KJHslgjkjdfg, origami, tomas, RAGA, zbw, fireee, XXX, element, HELP, zes, lockbit, captcha, gunga, fair, SOS, Boss, moloch, vassago, exe, dll
감염 제외 확장자

파일 암호화 후 확장자와 생성된 랜섬 노트는 다음과 같다.

암호화 파일
랜섬노트

또한, 최근 유포 중인 이력서 위장 악성코드는 메일에 첨부된 업축 파일에 아래와 같이 3개의 파일이 존재한다.

압축 파일 내부

‘지원서(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).jpg’ 파일의 경우 jpg 확장자로 되어있지만, 해당 파일 역시 exe 형태의 파일로 정상 프로그램의 Uninstall 파일이다.

각각 PDF 파일과 WORD 파일 아이콘으로 위장하고 있는 실행파일은 서로 다른 유형의 악성코드이며, ‘이력서(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe’ 파일은 위에 언급된 저작권법 위반 관련 악성코드와 동일한 랜섬웨어이다.

이와 달리 ‘포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe’ 파일은 정보유출 악성코드이다. 즉 지금까지는 주로 하나의 메일에 동일한 류의 악성코드를 첨부해서 유포했던 반면, 이번의 경우에서 확인되듯 다른 종류의 악성코드를 하나의 메일에 한번에 첨부하여 다양한 공격 수행을 시도하고 있다.

파일 실행 시 %AppData%\Roaming\EdgeCP 폴더에 MicrosoftEdgeCPS.exe 명으로 자가복제 되며, %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 폴더에 MicrosoftEdgeCPS.lnk 파일을 생성하여 해당 악성파일이 지속적으로 실행될 수 있게 한다.

이후 아래 WMI 쿼리를 수행하며, 화면 캡처, 사용자 PC 정보, 네트워크 정보, 브라우저 정보를 C2 (hxxp://eastwest7070.at/ps/gate.php)로 전송하는 행위를 수행한다.

wmic /Node:localhost /Namespace:\\root\SecurityCenter2 path AntiVirusProduct get DisplayName /FORMAT:List
wmic os get caption /FORMAT:List
wmic path win32_VideoController get caption /FORMAT:List
wmic path win32_NetworkAdapterConfiguration where IPEnabled=1 get IPAddress /FORMAT:List
wmic LogicalDisk Where DriveType=4 get VolumeName /FORMAT:List
wmic path win32_PingStatus where address=’eastwest7070.at’ get StatusCode /FORMAT:List
wmic path win32_PingStatus where address=’eastwest7070.at’ get ResponseTime /FORMAT:List
WMI 쿼리

이전부터 지속적으로 이력서, 포트폴리오 등으로 위장한 악성코드가 활발히 유포중이므로 출처가 불분명한 메일은 열람을 자제하고, 첨부 파일을 함부로 실행하지 않아야 한다. 또한, 악성 실행 파일이 PDF나 Word등 정상 아이콘으로 위장하고 있어 사용자는 파일의 확장자를 주의해야한다.

현재 V3에서는 해당 악성코드를 다음과 같은 진단명으로 진단하고있다.

[파일 진단]
Malware/Win32.Generic.C4339696
Trojan/Win32.MakopRasom.R365756
Trojan/Win32.Agent.C4327635

[행위 진단]
Malware/MDP.SystemManipulation.M2255

[IOC 정보]
a44dd48695af7a64607ff464a194642f
5c02cb26de796b4eb98d860530e9b7b5
69284ff2194fb4d10ff791a87d25e84d
hxxp://eastwest7070.at/ps/gate.php

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments