Notion 설치파일로 위장한 MSIX 악성코드 유포
Notion 설치 파일로 위장한 MSIX 악성코드가 유포 중이다. 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다.
다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다.
실행 시 다음과 같은 화면을 보이며 설치를 누를 경우 Notion이 설치됨과 동시에 악성코드에 감염된다.
설치 시 프로그램 경로에 StartingScriptWrapper.ps1 파일과 refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 파일은 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일이다. 이 파일을 통해 인스톨 과정에서 패키지 내부 config.json 설정 파일을 읽어 특정 파워쉘 스크립트를 실행할 수 있다. 본 패키지의 config.json 파일은 다음과 같이 refresh.ps1 파일을 실행하도록 구성되어 있다.
이 과정에서 실행되는 refresh.ps1 파일이 실질적인 악성코드이며, C2에서 명령어를 다운로드하여 실행하는 기능을 한다.
refresh.ps1 파일은 공백 문자를 활용하여 난독화된 구조이며 공백만으로 이루어진 각 변수에 정수를 대입하고 이를 곱하거나 더해 문자열을 완성하게 된다. 난독화된 스크립트는 8663자로 구성되어 있는데 반해 최종 실행되는 문자열은 약 200자 길이의 명령어이다.
이 명령은 C2에서 추가 파워쉘 명령어를 다운로드 후 실행한다. 현재는 C2 서버가 정상적으로 응답하지 않지만 최초 분석 당시 LummaC2 악성코드 유포를 확인하였다.
또한 자사 제품의 로그를 통해 hxxps://fleetcontents.com/1.dat 파일이 다운로드되어 PowerShell.exe 상에서 로드되어 실행된 것을 확인할 수 있다. 따라서 이 C2는 또 다른 C2에서 1.dat 파일을 다운로드 후 로드하는 명령을 응답했을 것이다.
1.dat 파일은 .NET EXE 파일로, 프로세스 할로잉 기법을 이용하여 RegAsm.exe에 LummaC2 악성코드를 주입하여 실행한다.
악성 행위에 대한 프로세스 트리는 다음과 같다. 윈도우 인스톨러를 통해 실행되므로 관련 서비스 호스트로 부터 시작된다.
LummaC2는 정보탈취형 악성코드로 브라우저 정보, 암호화폐 정보, 파일 등을 탈취 가능하다. LummaC2에 대한 정보는 아래 블로그를 통해 확인 가능하다.
파일을 실행할 때는 반드시 공식 홈페이지의 도메인임을 확인해야 하며 정상 서명을 가진 경우에도 서명 게시자를 반드시 확인해야 한다. 특히 최근 유포된 Notion 위장 악성코드 외에도 Slack, WinRar, Bandicam 등 다양한 프로그램을 위장한 악성 MSIX 파일도 확인되므로, MSIX 파일은 실행 시 특히 주의해야 한다.
