ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다.
첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다.
이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다.
이 악성코드를 실행하면 다음과 같이 정상 인스톨러 프로그램처럼 설치 화면이 보여지며, 파일들은 \AppData\Roaming\DAPInstrumentationTool\ 폴더에 생성된다.
설치 과정이 끝나면 위 경로에 생성된 DAPReporterTool.exe 를 실행한다. 해당 파일은 실행 시 동일 경로에 드랍되는 “libimpl3.dll”을 로드한 후 ApplyLayout() 함수를 실행한다. 이 함수는 실행 시 인코딩된 데이터 파일인 “report.csv”를 필요로 하며, 시간 지연을 거쳐 실제 악성코드를 디코딩하여 실행한다.
최종적으로 실행되는 것은 Formbook 인포스틸러 악성코드이다. 다음은 프로세스 트리이며 위의 과정을 거치면 T_Slip_May09019203.exe와 DAPReporterTool.exe는 종료된다. rundll32.exe는 폼북이 인젝션된 정상 프로세스이며, 이를 실행시킨 explorer.exe와 함께 메모리 상에 존재하면서 C&C 서버와 통신한다.
C&C 서버는 다음과 같으며, 공격자로부터 명령을 받아 다양한 사용자 정보를 유출할 수 있다.
hxxp://www.forenvid[.]com/vns/
Formbook 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.
[파일 진단]
– Infostealer/Win.Formbook.C4414596 (2021.04.15.00)
– Trojan/Win.Formbook.R415768 (2021.04.15.00)
– Trojan/Win.Loader.C4415378 (2021.04.15.00)
– Data/BIN.Encoded (2021.04.15.00)
[행위 진단]
– Malware/MDP.Injection.M3509
[IOC]
– T_Slip_May09019203.exe : 5ec1bef3902927425ea410241694573d
– DAPReporterTool.exe : 90e7231a4564d0fb0ba225629db5f4b5
– libimpl3.dll : 85250ff1bd2fce62aff79f9ec79432e3
– report.csv : ac8e6f5e04516614c5adc164581dbe70
– hxxp://www.forenvid[.]com/vns/
Categories:악성코드 정보