보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드

ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다.

FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는 주간 악성코드 통계에서도 매번 순위권에 존재하는 만큼 유포가 매우 활발한 것을 알 수 있으며, FormBook 악성코드에 대한 상세 정보는 아래에 링크한 게시글을 통해 확인 가능하다.

또한, ASEC블로그에서 자주 소개한 바와 같이, 주로 FormBook 악성코드는 메일의 첨부파일을 통해 유포되는 정황이 확인되어왔다. 하지만 이번에는 메일에 첨부된 파일은 정상이지만, 본문 내 링크를 통해 추가 악성코드를 다운로드 받을 수 있도록 피싱메일이 보다 정교해졌음을 의미한다. 또한, 동일한 입찰&계약 관련내용으로 해당 피싱메일과 FormBook 악성코드가 다수 유포되는 정황이 확인되어 첨부파일 혹은 외부링크를 통해 내려받는 파일실행에 대해 사용자들의 각별한 주의가 요구된다.

그림 1) 신뢰할만한 송신인으로부터 받은 피싱메일

본문에는 첨부한 회사소개 브로슈어PDF를 참고하라는 언급과 더불어 수신인에게 입찰제안(bid proposal)을 하는 내용을 담았다. 이어 DOC 첨부파일에 NDA(NoN Disclosure Agreement, 비밀유지계약) 서명&스캔 후 본문에 존재하는 ‘511_Bidding_Documents.zip’ 파일을 다운로드 할 수 있는 URL을 통해 입찰 패키지(Bid Package)를 추가 확인하라는 내용을 담고있다. 위에서 언급한 바와 같이 첨부된 DOC 와 PDF 파일은 모두 악성기능이 없는 정상 파일이다.

그림 2) 메일본문 내 외부 URL에서 내려받은 압축파일
그림 3) 실행파일 디버깅 시에 확인되는 최초 연결URL

본문에 존재하는 URL에서 파일을 내려받으면 다음과 같이 실행파일이 압축되어있다. 해당 실행파일은 FormBook 악성코드로 확인되나, 현재는 FormBook이 최초로 연결시도하는 도메인과의 연결 상태가 유효하지 않아 추가 행위는 확인 불가하다. 파일 내부에서 확인되는 textbin[.]net 도메인은 FormBook 악성코드의 최초 연결시도 C2 주소로 확인된 사례가 다수 존재하며, 만약 유효한 응답을 받을 경우 추가 악성행위가 발생할 것으로 추정된다.

이렇게 보다 더 정교해지는 피싱메일을 통해 사용자에게 악성코드를 유포하는 정황이 확인되었으므로, 사용자는 신뢰할만한 발신인으로부터 메일을 받았다고 하더라도 첨부파일 혹은 외부URL을 통해 내려받을 수 있는 파일에 대해 실행을 자제해야 한다.

또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하다.

AhnLab V3에서는 해당 FormBook 악성코드에 대해 아래와 같이 진단하고 있다.

[파일 진단]

  • Trojan/Win.MSILKrypt.R458130

[IOC 정보]

  • 5dfc37f664644d6f413724bf07f0181b
  • hxxps://textbin[.]net/raw/aatkx3yxcv (현재 연결불가)
  • hxxp://slikenite.ddnsgeek[.]com/zinc/5bab0b1d864615bab0b1d864b3/511_Bidding Documents.zip

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments