붙여넣기 기능으로 명령어 실행을 유도하는 피싱 메일 주의

AhnLab SEcurity intelligence Center(ASEC)은 최근 메일을 통해 유포되는 피싱 파일을 확인했다. 메일에 첨부된 피싱 파일(HTML)은 붙여넣기(CTRL+V) 기능으로 사용자가 직접 명령어를 실행하도록 유도하는 특징이 있다.

[그림 1] 피싱 메일

공격자는 비용 처리, 운영 지침 검토와 같은 내용을 이용하여 수신자가 첨부파일을 열람하도록 유도하였다. HTML 파일을 열람하면, MS Word로 위장된 배경화면과 안내 메시지가 팝업된다. 메시지는 워드 문서를 보려면 ‘How to fix’ 버튼을 클릭하라고 안내한다.

 

[그림 2] 명령어 입력을 유도하는 안내 메시지

 

‘How to fix’ 버튼을 클릭하게 되면 사용자에게 [Win+R] → [CTRL+V] → [Enter] 키를 입력하도록 하거나, 파워쉘 터미널을 직접 열어 명령어를 입력하도록 유도한다. 이와 동시에 [그림 3]의 자바스크립트를 통해 Base64로 인코딩 되어있는 악성 파워쉘 명령어[그림 4]가 디코딩되어 사용자 클립보드에 저장된다.

[그림 3] 사용자 클립보드에 악성 파워쉘 명령어 저장

 

[그림 4] Base64로 인코딩 되어있는 파워쉘 명령어

 

따라서 설명된 과정을 거치면 [그림 5]처럼 악성 파워쉘 명령어가 실행된다.

[그림 5] 클립보드에 미리 셋팅된 악성 파워쉘 스크립트 실행

해당 파워쉘 명령어는 HTA 파일을 C2에서 다운로드 받아 실행하는 역할을 한다. 또한 클립보드를 다시 공백으로 설정하여 실행된 파워쉘 명령어를 감추고자 하는 목적도 보인다. HTA는 다시 C2에서 파워쉘 명령어를 실행시키며 결과적으로 ZIP 파일 내부에 있는 Autoit3.exe가 컴파일된 악성 오토잇 스크립트(script.a3x)를 인자로 하여 실행된다. 메일 수신부터 감염까지의 전체적인 흐름은 [그림 6]과 같다.

 

[그림 6] 전체 흐름도

 

최종적으로 Autoit으로 시작되는 DarkGate 악성코드가 감염된다. 이처럼, 출처가 불분명한 메일은 주의가 필요하며 내용상의 링크나 첨부된 파일은 더욱 각별한 주의가 필요하다.

 

파일 진단
Phishing/HTML.ClipBoard.SC199655 (2024.05.21.03)
Downloader/VBS.Generic.SC199642 (2024.05.21.00)
Downloader/VBS.Generic.SC199656 (2024.05.21.03)
Downloader/HTA.DarkGate.SC199621 (2024.05.16.02)
Downloader/PowerShell.Generic (2024.05.21.00)
Downloader/PowerShell.Generic (2024.05.21.02)
Downloader/PowerShell.Generic (2024.05.21.03)
Trojan/AU3.Agent (2024.05.21.00)
Trojan/AU3.Agent (2024.05.21.03)
Trojan/AU3.Agent (2024.05.22.00)

행위 진단
Execution/MDP.Powershell.M2514

MD5

0b77babfa83bdb4443bb3c5f918545ae

30e2442555a4224bf15bbffae5e184ee

318f00b609039588ce5ace3bf1f8d05f

404bd47f17d482e139e64d0106b8888d

4b653886093a209c3d86cb43d507a53f

URL

http[:]//dogmupdate[.]com/rdyjyany

http[:]//dogmupdate[.]com/yoomzhda

http[:]//flexiblemaria[.]com/iinkqrwu

http[:]//flexiblemaria[.]com/umkglnks

http[:]//mylittlecabbage[.]net/qhsddxna