피싱/스캠 악성코드

악성코드 패키지 다운로드하는 Phishing형 PDF

  • 11월 01 2023
악성코드 패키지 다운로드하는 Phishing형 PDF

AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다.

  • Far-Cry-3-Multiplayer-Crack-Fix.pdf
  • STDISK-Activator-Free-Download-X64.pdf
  • Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
  • Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
  • Roblox-Gift-Card-2018-Projected.pdf
  • minecraft-the-island-part-2.pdf

유포된 PDF 파일 내에 포함된 버튼을 클릭하면 악성 URL주소로 접속한다. 아래 그림은 PDF 파일을 열었을 때 나타나는 화면으로, 붉은 음영으로 표시된 두 버튼 중 하나를 누르면 아래의 주소로 접속한다.

  • hxxps://fancli[.]com/21czb7

접속한 링크에서는 아래의 URL 주소로 리다이렉트한다.

  • hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3

아래 그림은 리다이렉트된 사이트 화면이며, 다운로드 버튼을 누르면 암호화된 압축파일이 다운로드되고, 복호화 비밀번호를 보여주는 페이지로 리다이렉트한다.

리다이렉트된 페이지에서는 암호화된 압축 파일을 복호화하고 실행할 수 있도록 “아카이브 비밀번호: 1234” 문자열을 띄워 압축 해제 및 실행을 유도한다. 아래 그림은 파일 다운로드 주소에서 리다이렉트 후 압축 해제 패스워드를 보여주는 화면이다.

다운로드한 압축 파일의 이름은 “Setup.7z” 으로, 비밀번호를 사용하여 압축을 해제하면 아래 그림의 File.exe 파일이 생성된다. 

관리자 권한으로 실행된 File.exe 프로세스는 레지스트리 값을 다음과 같이 조작하여 Windows Defender 를 무력화한다.

* HKLM\SOFTWARE\Policies\Microsoft\Windows Defender:DisableAntiSpyware=1

또한 피해 PC의 브라우저 로그인 정보와, IP 위치 정보 API 사이트를 이용하여 IP, 위치 정보를 함께 탈취하고 추가 악성코드를 아래의 경로에 다운로드한다.

  • C:\Users\%USERNAME%\Pictures
  • C:\Users\%USERNAME%\Pictures\Minor Policy

다운로드하는 악성코드는 랜섬웨어, PUP, 인포스틸러, 드롭퍼 등으로 다운로드한 파일 중 일부는 숨김, 시스템 속성으로 설정한다. 아래 그림은 다운로드하는 악성 파일 중 일부를 캡처한 그림이다.

악성코드 유포의 전체적인 흐름은 아래 도식도에서 볼 수 있듯이 최초 악성 URL을 포함한 PDF 파일에서 악성코드 다운로드 및 실행을 유도한다. 실행된 악성코드는 랜섬웨어, 애드웨어, 인포스틸러 등 수많은 악성코드를 다운로드하고 실행한다.

다운로드되는 악성코드 중 특히 hxxp://109.107.182[.]2/race/bus50.exe 주소에서 다운로드하는 악성코드는 CAB 파일로 이루어진 SFX 파일이다. 해당 SFX 파일이 실행되면 악성 행위를 하는 파일과 또 다른 SFX 파일을 %TEMP% 경로 아래 “IXP000.TMP” 폴더에 생성한다. 하위 SFX 파일은 %TEMP% 경로에 아래 “IXP001.TMP” 와 같이 “IXP” 문자열 뒤에 붙는 숫자를 증가시키며 폴더를 생성하여 하위 파일들을 생성하는 행위를 반복하며, 총 6개의 SFX 파일과 7개의 추가 악성코드가 생성된다.

CAB 형태의 SFX 파일은 지난 2021년 ASEC 블로그에 소개된 바 있다.

S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화 – ASEC BLOG

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로 압축 해제가 불가능하도록 트릭을 적용하였다. CryptBot 악성코드는 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한…

 

블로그에서 소개한 파일 외에도 많은 파일이 유사한 형태로 유포되고 있다. 사용자는 정품이 아닌 프로그램 사용을 지양해야 하며, 파일 실행 시 주의가 필요하다.

현재 V3에서는 아래와 같이 진단하고 있으며, IOC는 다음과 같다.

[파일진단]

  • Phishing/PDF.Generic (2023.10.25.02)
  • Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
  • Dropper/Win.Generic.X2198 (2023.10.31.00)
  • Trojan/Win.RedLine.R619129 (2023.10.31.01)

[행위 기반 진단]

  • Malware/MDP.Drop.M254

MD5

3837ff5bfbee187415c131cdbf97326b
7e88670e893f284a13a2d88af7295317
9ce00f95fb670723dd104c417f486f81
d97fbf9d6dd509c78308731b0e57875a
URL

http[:]//109[.]107[.]182[.]2/race/bus50[.]exe
http[:]//171[.]22[.]28[.]226/download/Services[.]exe
http[:]//albertwashington[.]icu/timeSync[.]exe
https[:]//experiment[.]pw/setup294[.]exe
https[:]//sun6-22[.]userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted[.]bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.

Tags:
Previous Post

Next Post