견적의뢰서 위장 피싱 메일로 유포 중인 GuLoader

ASEC 분석팀에서 해당 블로그에 매주 업데이트 중인 주간 Top5 악성코드 키워드에 GuLoader가 2년만에 다시 랭크되었다. GuLoader는 추가 악성코드를 다운로드하는 다운로더 형태의 악성코드이며 다운로드 주소로 구글 드라이브가 자주 사용되어 해당 이름으로 명명되었다.

ASEC 주간 악성코드 통계 ( 20220620 ~ 20220626 ) – ASEC BLOG

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 20일 월요일부터 6월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 25.1%, 백도어 14.8%, 뱅킹 악성코드4.9%, 랜섬웨어 1.3%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 25.6%로 1위를 기록하였다. Age…

ASEC 분석팀에서는 이 유형의 악성코드가 올 2022년 2분기 동안 유포된 Downloader 형의 악성코드 중 가장 많은 비중을 차지하고 있는 것으로 파악했으며 아래와 같이 피싱메일을 통해 유포되는 정황을 확인하였다. 이번에 확인된 케이스는 견적의뢰서를 위장하였으나 유포되는 파일명으로 보아 다양한 형태의 피싱 형태로 유포 중 일 것으로 보인다.

[유포 파일명 일부]

• JP181222006.exe
• Setup.exe
• PRICE_OF.EXE
• Remittance Advice.pdf.exe
• Purchase order_104121_90778_azBRIGHTOK.exe

기존의 GuLoader는 Visual Basic 언어로 패킹되어 있었던 반면 최근에는 NSIS 형태로 유포 중이다. 실행 시 아래와 같이 인스톨러 파일인 것 처럼 설치 GUI창을 띄운다.

위 NSIS 파일 내부의 nsi 파일에서와 같이 %appdata%\Bestikkendes8 경로에 내부 파일을 생성하며 완료 시 SetAutoClose 값을 true로 설정하여 자동으로 [그림2]의 설치 창이 자동으로 사라진다.

InstType $(LSTR_38) ; Custom InstallDir $APPDATA\Bestikkendes8 ; install_directory_auto_append = Bestikkendes8 ; wininit = $WINDIR\wininit.ini (중간 생략) SetAutoClose true

nsi 스크립트 일부

이후 내부의 데이터를 메모리에서 디코딩한 후 실행하며 최종적으로 hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin에 접속하여 추가 악성코드 다운로드를 시도한다. 현재는 다운로드 되지 않지만 최근 확인되는 GuLoader들은 과거와 동일하게 인포스틸러 및 RAT 형태의 악성코드를 다운로드하고 있다.

[최종 다운로드되는 악성코드 유형]

• Formbook (Infostealer)
• AgentTesla (Infostealer)
• Remcos (RAT)
• NanoCore (RAT)

최근 유포 케이스가 증가한 점과 한글로 작성된 이메일을 통한 유포가 확인된 만큼 국내 사용자들의 주의가 필요하다. 해당 악성코드의 안랩 진단은 아래와 같다.

[파일 진단]
Trojan/Win.GuLoader.C5175436
 

MD5

29dae93183c2b0f2eb98db22d3a246dd

URL

https[:]//lovelifereboot[.]com/MAKS_ywgAq67[.]bin