채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드
ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다.
첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다.
이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다.
이 악성코드를 실행하면 다음과 같이 정상 인스톨러 프로그램처럼 설치 화면이 보여지며, 파일들은 \AppData\Roaming\DAPInstrumentationTool\ 폴더에 생성된다.
설치 과정이 끝나면 위 경로에 생성된 DAPReporterTool.exe 를 실행한다. 해당 파일은 실행 시 동일 경로에 드랍되는 “libimpl3.dll”을 로드한 후 ApplyLayout() 함수를 실행한다. 이 함수는 실행 시 인코딩된 데이터 파일인 “report.csv”를 필요로 하며, 시간 지연을 거쳐 실제 악성코드를 디코딩하여 실행한다.
최종적으로 실행되는 것은 Formbook 인포스틸러 악성코드이다. 다음은 프로세스 트리이며 위의 과정을 거치면 T_Slip_May09019203.exe와 DAPReporterTool.exe는 종료된다. rundll32.exe는 폼북이 인젝션된 정상 프로세스이며, 이를 실행시킨 explorer.exe와 함께 메모리 상에 존재하면서 C&C 서버와 통신한다.
C&C 서버는 다음과 같으며, 공격자로부터 명령을 받아 다양한 사용자 정보를 유출할 수 있다.
hxxp://www.forenvid[.]com/vns/
Formbook 악성코드의 C2 통신 방식 – ASEC BLOG
대다수의 악성코드는 공격자의 명령 수신과 추가 악성 행위를 위해 C2(Command & Control server)를 활용한다. 공격자의 입장에서는 AV 제품의 감시망을 뚫고 사용자 PC에 악성코드를 감염시켜도 C2 접속이 차단되면 무용지물이다. 따라서 C2 정보 파악을 어렵게 하기 위해 가짜 C2와 통신을 하거나, 단 한 개라도 작동을 보장하기 위해 많은 수의 C2를 사용하는 등의 다양한 기법을 사용한다. Formbook 악성코드는 이렇게 C2 파악이 어려운 대표적인 악성코드이다. 본 게시글에서는 Formbook 악성코드의 C2 …
Formbook 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.
[파일 진단]
– Infostealer/Win.Formbook.C4414596 (2021.04.15.00)
– Trojan/Win.Formbook.R415768 (2021.04.15.00)
– Trojan/Win.Loader.C4415378 (2021.04.15.00)
– Data/BIN.Encoded (2021.04.15.00)
[행위 진단]
– Malware/MDP.Injection.M3509
