AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다.
- Far-Cry-3-Multiplayer-Crack-Fix.pdf
- STDISK-Activator-Free-Download-X64.pdf
- Hungry-Shark-World-360-Apk-MOD-Diamond-Coin-Data-Free-Download-FULL.pdf
- Video-Pad-Video-Editor-Free-Download-TOP-Full-Version.pdf
- Roblox-Gift-Card-2018-Projected.pdf
- minecraft-the-island-part-2.pdf
유포된 PDF 파일 내에 포함된 버튼을 클릭하면 악성 URL주소로 접속한다. 아래 그림은 PDF 파일을 열었을 때 나타나는 화면으로, 붉은 음영으로 표시된 두 버튼 중 하나를 누르면 아래의 주소로 접속한다.
- hxxps://fancli[.]com/21czb7
접속한 링크에서는 아래의 URL 주소로 리다이렉트한다.
- hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3
아래 그림은 리다이렉트된 사이트 화면이며, 다운로드 버튼을 누르면 암호화된 압축파일이 다운로드되고, 복호화 비밀번호를 보여주는 페이지로 리다이렉트한다.
리다이렉트된 페이지에서는 암호화된 압축 파일을 복호화하고 실행할 수 있도록 “아카이브 비밀번호: 1234” 문자열을 띄워 압축 해제 및 실행을 유도한다. 아래 그림은 파일 다운로드 주소에서 리다이렉트 후 압축 해제 패스워드를 보여주는 화면이다.
다운로드한 압축 파일의 이름은 “Setup.7z” 으로, 비밀번호를 사용하여 압축을 해제하면 아래 그림의 File.exe 파일이 생성된다.
관리자 권한으로 실행된 File.exe 프로세스는 레지스트리 값을 다음과 같이 조작하여 Windows Defender 를 무력화한다.
* HKLM\SOFTWARE\Policies\Microsoft\Windows Defender:DisableAntiSpyware=1
또한 피해 PC의 브라우저 로그인 정보와, IP 위치 정보 API 사이트를 이용하여 IP, 위치 정보를 함께 탈취하고 추가 악성코드를 아래의 경로에 다운로드한다.
- C:\Users\%USERNAME%\Pictures
- C:\Users\%USERNAME%\Pictures\Minor Policy
다운로드하는 악성코드는 랜섬웨어, PUP, 인포스틸러, 드롭퍼 등으로 다운로드한 파일 중 일부는 숨김, 시스템 속성으로 설정한다. 아래 그림은 다운로드하는 악성 파일 중 일부를 캡처한 그림이다.
악성코드 유포의 전체적인 흐름은 아래 도식도에서 볼 수 있듯이 최초 악성 URL을 포함한 PDF 파일에서 악성코드 다운로드 및 실행을 유도한다. 실행된 악성코드는 랜섬웨어, 애드웨어, 인포스틸러 등 수많은 악성코드를 다운로드하고 실행한다.
다운로드되는 악성코드 중 특히 hxxp://109.107.182[.]2/race/bus50.exe 주소에서 다운로드하는 악성코드는 CAB 파일로 이루어진 SFX 파일이다. 해당 SFX 파일이 실행되면 악성 행위를 하는 파일과 또 다른 SFX 파일을 %TEMP% 경로 아래 “IXP000.TMP” 폴더에 생성한다. 하위 SFX 파일은 %TEMP% 경로에 아래 “IXP001.TMP” 와 같이 “IXP” 문자열 뒤에 붙는 숫자를 증가시키며 폴더를 생성하여 하위 파일들을 생성하는 행위를 반복하며, 총 6개의 SFX 파일과 7개의 추가 악성코드가 생성된다.
CAB 형태의 SFX 파일은 지난 2021년 ASEC 블로그에 소개된 바 있다.
블로그에서 소개한 파일 외에도 많은 파일이 유사한 형태로 유포되고 있다. 사용자는 정품이 아닌 프로그램 사용을 지양해야 하며, 파일 실행 시 주의가 필요하다.
현재 V3에서는 아래와 같이 진단하고 있으며, IOC는 다음과 같다.
[파일진단]
- Phishing/PDF.Generic (2023.10.25.02)
- Downloader/Win.BeamWinHTTP.C5530057 (2023.10.25.02)
- Dropper/Win.Generic.X2198 (2023.10.31.00)
- Trojan/Win.RedLine.R619129 (2023.10.31.01)
[행위 기반 진단]
- Malware/MDP.Drop.M254
[IOC]
Hash (MD5)
- d97fbf9d6dd509c78308731b0e57875a (PDF)
- 9ce00f95fb670723dd104c417f486f81 (File.exe)
- 3837ff5bfbee187415c131cdbf97326b (SFX)
- 7e88670e893f284a13a2d88af7295317 (RedLine)
Download URL
- hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
- hxxp://171.22.28[.]226/download/Services.exe
- hxxp://109.107.182[.]2/race/bus50.exe
- hxxp://albertwashington[.]icu/timeSync.exe
- hxxps://experiment[.]pw/setup294.exe
- hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보