최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.
최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.
2012년 6월 – 스팸 메일과 결합된 웹 익스플로잇 툴킷
2012년 7월 – 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷
금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.
이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.
페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.
해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.
그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.
해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.
그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.
APSB10-07 – Security updates available for Adobe Reader and Acrobat (CVE-2010-0188)
MS10-042 – 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점 (2229593) (CVE-2010-1885)
MS06-014 – MDAC(Microsoft Data Access Components) 원격코드 실행 취약점 (CVE-2006-0003)
해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.
C:Documents and Settings[사용자 계정]Local SettingsTempwpbt0.dll
그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (84,480 바이트) 명칭으로 복사하게 된다.
C:Documents and Settings[사용자 계정]Application DataKB01458289.exe
감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
KB01458289.exe = C:Documents and Settings[사용자 계정]Application DataKB01458289.exe
Categories:악성코드 정보