해외 유명 배송업체를 사칭하여 유포되는 피싱 메일 주의 (GuLoader)
최근 AhnLab SEcurity intelligence Center(ASEC)에서는 해위 유명 배송업체를 사칭하여 피싱 메일을 통해 GuLoader 악성코드를 유포하는 사례를 확인했다. 해당 피싱 메일은 ASEC에서 운영 중인 이메일 허니팟을 통해 확보하였다. 이메일 본문에는 사용자가 사후납부통관 세금을 확인해야 한다는 내용과 함께 첨부파일 실행을 요구한다.
[그림 1] 피싱 이메일 본문
첨부파일에는 난독화된 VBScript가 포함되어 있으며, 실행 시 내부에 포함된 PowerShell 스크립트를 조합하여 실행하고, 외부에서 추가 파일을 다운로드한다. 이후 HKEY_CURRENT_USER\SOFTWARE[랜덤명]이름의 레지스트리 키를 생성하여 난독화된 PowerShell Script의 지속성을 유지한다.
※ 본문의 샘플에서는 PolySyndetic이름으로 등록된다.
[그림 2] (좌) VBScript 일부 (우) PowerShell 스크립트 일부
[그림 3] 레지스트리 키에 등록된 PowerShell 스크립트 일부
마지막으로 msiexec.exe를 자식 프로세스로 생성하고 Xworm RAT를 인젝션하여 실행한다.
[그림 4] 최종 실행되는 Xworm RAT
[그림 5] 최종 프로세스 트리
GuLoader는 2019년 12월부터 유포되기 시작한 다운로더 악성코드로, 현재까지도 다양한 형태로 꾸준히 유포되고 있다. 다운로더 악성코드이기 때문에 다양한 악성코드를 감염시켜 2차 피해가 발생할 수 있다. 따라서 사용자는 출처가 불분명한 이메일에 포함된 첨부파일을 실행할 때 주의해야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
