ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다.
메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이 비트코인을 무료로 받을 수 있다는 내용과 단축 URL이 링크 되어있다. PDF 파일에 존재하는 URL 링크는 세 개이며, 셋 중 어느 것을 클릭해도 동일한 주소로 접속하게 된다.
현재는 단축 URL과 최종 접속 URL 모두 존재하지 않는 페이지로 확인되지만, 분석 당시에는 압축파일(bitcoin.zip)을 내려받을 수 있었다. 압축파일을 확인해보면 아래와 같이 바로가기(.lnk) 파일과 password.txt 의 텍스트파일이 존재하는데, 이 텍스트 파일에는 마치 정상적으로 지갑 주소와 패스워드를 제공하는 것처럼 기재되어있지만 실제 목적은 ‘folder’ 형태의 lnk 파일 클릭을 유도하는 것이다. (‘Wallet in folder.’)
LNK 파일 내부를 확인해보면, 아래와 같이 파워쉘을 이용하여 실행파일을 다운로드하는 악성URL과 저장되는 폴더/파일명을 확인할 수 있다.
따라서 공격자의 의도대로 lnk 파일을 실행하면, 악성코드가 해당 URL에서 다운로드 되어 %Temp% 경로에 WindowsUpdate.exe 라는 파일로 저장된다.
다운로드 된 파일을 실행하면 CMD dir 명령어를 이용하여 다양한 폴더/파일의 정보를 확인하는데, 이후 외부 URL과 네트워크 연결을 시도하는 것으로 보아 획득한 정보들을 유출하는 것으로 추정된다. 현재는 연결 시도 시 서버로부터 RST 패킷이 전송되어 패킷의 정확한 내용은 확인할 수 없다.
최근 화제가 되는 이슈들을 악용하려는 시도가 지속적으로 확인되고 있다. 사용자들은 첨부 파일이 있는 메일을 열람할 시에는 주의를 기울여야 한다. 본문에서 소개한 것과 같이, 실행 파일 형태의 첨부 파일이 아니더라도 교묘한 방법으로 사용자를 속이려는 행위일 가능성이 있으므로 관심이 있는 내용이더라도 첨부 파일을 내려받거나 실행하는 것은 지양해야 한다.
또한, 사용하고 있는 백신은 항상 최신 버전으로 유지하고자 하는 관심과 노력이 요구된다.
본문에서 소개한 악성코드는 현재 V3에서 다음과 같이 진단하고 있다.
[파일 진단]
- LNK/Runner.S1
- Trojan/Win.Wacatac.R415645
[관련 IoC 정보]
- hxxp://1924[.]site/doc/bitcoin.zip
- hxxp://1924[.]site/soft/09042021.exe
- hxxp://31.42.185[.]63:8080/upld/30BC8771
- c717265dc91b1980921320c8d6257b53
- 5ab92ca35e41b9a7aa07cc7efc60bbd1
- d377c71f7df1c515705eb6b0cc745f7d
Categories:악성코드 정보