AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다.
해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다.
이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가 바로 실행되지 않고, 문자열을 조합 후 innerHTML 속성을 통해 특정 id 영역에 삽입되어 실행되는 점이 다르다. 바로가기 객체(ShortCut), Click 메서드 등을 이용하는 방식은 기존과 동일하다.
해당 스크립트를 통해 실행되는 명령어는 총 2개로, 먼저 “C:\Users\Public\Libraries” 경로에 CHM 파일을 디컴파일 한다. 이후 디컴파일되어 생성된 “Docs.jse” 파일을 wscript 를 통해 실행하게 된다.
- Command 1 : hh,-decompile C:\Users\Public\Libraries [CHM실행경로]
- Command 2 : wscript,C:\Users\Public\Libraries\Docs.jse P
“Docs.jse” 파일은 인코딩된 JavaScript 로, 디코딩된 코드는 아래와 같다. 해당 코드에서도 실제 악성 행위에 사용되는 문자열들은 인코딩되어 있어 공격자는 파일 진단을 우회하기 위해 특정 문자열들을 숨긴 것으로 보인다.
최종적으로, 해당 스크립트는 지속성을 위해 “Docs.jse” 파일을 Run 키에 등록한다. 이후 powershell 명령어를 통해 추가 악성 파일 다운로드를 시도한다. 추가 악성 파일은 “%tmp%\alg.exe” 경로에 다운로드되며, 현재는 접속이 불가하다.
- 다운로드 URL
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
hxxps://crilts[.]cfd/cdeeb
해당 유형의 악성코드는 다운로드되는 추가 악성 파일에 따라 정보 탈취 등 다양한 악성 행위를 수행할 수 있게 되며 큰 피해를 입을 수 있다. 특히, 국내 특정 사용자를 대상으로 유포하는 악성코드는 유포 대상에 따라 관심 있는 주제의 내용을 포함하여 사용자의 실행을 유도하기 때문에 출처가 불분명한 메일의 열람을 자제하고 첨부된 파일은 실행하지 않도록 해야 한다. 또한, 주기적으로 PC 검사를 진행하고 보안 제품을 최신 엔진으로 업데이트해야 한다.
[파일 진단]
Dropper/CHM.Generic (2023.07.20.00)
[행위 진단]
Execution/EDR.Malware.M10459
Execution/EDR.Scripting.M11204
Persistence/EDR.Event.M11205
Connection/EDR.Behavior.M2650
Persistence/MDP.Event.M4697
Execution/MDP.Cmd.M4698
[IOC]
aaeb059d62c448cbea4cf96f1bbf9efa
59a924bb5cb286420edebf8d30ee424b
0f27c6e760c2a530ee59d955c566f6da
bfe2a0504f7fb1326128763644c88d37
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
hxxps://crilts[.]cfd/cdeeb
Categories:악성코드 정보
[…] 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 […]
[…] 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 […]
[…] Ahnlab’s Disclosure […]