저작권 위반 관련 문서로 위장한 Infostealer 악성코드 국내 유포

AhnLab SEcurity intelligence Center(ASEC) 에서는 법적 책임이나 저작권 위반 사실이 기록된 자료를 위장한 Infostealer 악성코드가 국내에 지속적으로 유포되고 있는 정황을 확인하였다. 주로 이메일 내 첨부 링크를 통해 유포되며, 메일 본문에는 저작권 위반 행위에 대한 증거 자료를 다운로드 받도록 유도 했다.

• 이메일 내 첨부 링크 (1)
  hxxps://tr[.]ee/3FKnsw
• 이메일 내 첨부 링크 (2)
  hxxps://laurayoung2169944-dot-yamm-track.appspot[.]com/2gwdQgyj0E2vzqvbGg2Q8Vfawz52qe38tVH-Y92ZoVgBqJibClgEzOCbYyqGbTJh0dKhw8GQbFc_Fesz7f9zrLq-2V-eP1KMh9_AEWIYxXvJBaYeQMZELdDvNm3D-jXjmCZhpz_vekp6k6wRmVhQAy8E8tvBKAmido8oujb3kXgIEfYHLKv2LcSBPU3qzwd3tG0yoQroSnpBWvxoJ0Cigir-WRpFZtmNqF9GzWiYvcbQYCA_FW112o2ZfGIvFBZS2YBmvm5iJcYtbCXPbhF_PffE2uiWA

[그림 1] 유포 메일 (1)

[그림 2] 유포 메일 (2)

유포 중인 악성코드는 실행 방식에 따라 크게 두 가지 유형으로 나뉘며, 모두 압축 파일 형태로 유포되는 특징이 있다.

유형 1 : DLL Side-Loading

첫번째 유형은 DLL Side-Loading 기법을 이용한다. DLL Side-Loading 기법은 정상 응용 프로그램과 해당 프로그램이 참조하는 악성 DLL 을 동일한 폴더에 배치하여, 정상 응용 프로그램이 실행될때 악성 DLL이 함께 실행되도록 하는 기법이다. 유포 중인 파일명의 일부는 아래와 같다.

• 유포 파일명
  확실한 증거는 범죄 행위를 확인하는 데 도움이 됩니다.zip
  소유권 보호를 뒷받침하는 증거.zip
  조사를 통해 검증된 증거.zip
  지적재산권 침해에 대한 문서 및 증거.zip
  지적 재산권 침해를 증명하는 서류.zip
  수사 파일의 증거.zip
  지식재삭권 침해 수사를 위한 증거 자료.zip
  위반 사실을 증명하는 서류.zip
  위반사항 조사 증거.zip
  저작권 침해 증거 및 자료 정보.zip
  조사에서 기록된 증거.zip
  경찰 수사관과 검찰로부터 수집된 결과.zip
  검찰 수사 결론.zip

[그림 3] 유포 파일 (1)

[그림 4] 유포 파일 (2)

[그림 5] 유포 파일 (3)

압축 파일 내부에는 정상 EXE (PDF Reader 프로그램) 와 악성 DLL 이 포함되어 있다. 사용자가 EXE 파일을 실행할 경우 악성 DLL 이 로드되며, Infostealer 악성코드인 Rhadamanthys 가 동작한다. Rhadamanthys 는 윈도우 시스템 정상 프로그램에 인젝션을 수행하며 최종적으로 이메일, FTP, 온라인 뱅킹 서비스 등과 관련된 정보를 탈취하여 공격자 서버로 전송한다.

• 인젝션 대상 프로세스
  %Systemroot%\system32\openwith.exe
  %Systemroot%\system32\dialer.exe
  %Systemroot%\system32\dllhost.exe
  %Systemroot%\system32\rundll32.exe
   

유형 2 : 이중 확장자

두번째 유형은 이중 확장자를 사용하여 문서 파일로 위장한 형태이다. 대부분의 운영체제는 기본적으로 확장자를 숨기므로 “.pdf.exe”, “.docx.exe” 와 같은 EXE 파일이 “.pdf”, “.docx” 로 보여지게 되어 문서 파일로 위장할 수 있다. 유포 중인 파일명의 일부는 아래와 같다.

• 유포 파일명
  저작권 침해에 대한 증거 및 상세 자료.zip
  위반을 입증하는 서류가 수집되었습니다 (1).zip
  저작권 침해 정보 및 자료 정보.zip

[그림 6] 유포 파일 (3)

[그림 7] 유포 파일(4)

[그림 8] 유포 파일 (5)

압축 파일 내부에는 악성 EXE 파일과 텍스트 파일이 포함되어 있다. EXE 파일은 이중 확장자를 이용하여 PDF 문서로 위장하고 있으며, 텍스트 파일에는 악성 EXE 파일을 실행하도록 유도하는 문구가 포함되어 있다. 사용자가 악성 EXE 파일을 실행할 경우 Infostealer 악성코드가 동작하며 Powershell 명령어를 통해 특정 프로세스를 종료시킨다. 최종적으로 브라우저 계정 정보, 화면 캡처 등 사용자 정보를 탈취하여 공격자 서버로 전송한다.

• 종료 대상 프로세스
  ksdumperclient, regedit, ida64, vmtoolsd, vgauthservice, wireshark, x32dbg, ollydbg, vboxtray, df5serv, vmsrvc, vmusrvc, taskmgr, vmwaretray, xenservice, pestudio, vmwareservice, qemu-ga, prl_cc, prl_tools, joeboxcontrol, vmacthlp, httpdebuggerui, processhacker, joeboxserver, fakenet, ksdumper, vmwareuser, fiddler, x96dbg, dumpcap, vboxservice

[그림 9] 텍스트 파일

추가로, 수사 자료 및 저작권 위반을 위장한 Infostealer 유형은 해외에서도 유사한 형태로 유포 중이며 대상 국가는 태국, 헝가리, 포르투갈, 그리스, 일본 등이 확인되었다.

• 유포 파일명
  違反を示す証拠/違反を示す証拠.pdf.exe (위반을 나타내는 증거.pdf.exe)
  -เอกสารร้องเรียนเกี่ยวกับการละเมิดลิขสิทธิ์.exe (저작권 침해 신고 서류.exe)
  A nyomozási folyamat bizonyítéka.exe (조사 과정의 증거.exe)
  Prova de violação após investigação.exe (조사 후 변조 증거.exe)
  Αποδεικτικά στοιχεία παραβίασης .exe (위반 증거.exe)
   

유포 중인 파일명들은 사용자에게 심리적 압박이나 공포심을 느끼도록 하여 파일을 실행하도록 유도하고 있으며 정상 프로그램을 실행하더라도 악성 DLL 이 함께 로드될 수 있으므로, 메일 및 메신저 등에서 받은 의심스러운 파일을 실행하지 않도록 해야 한다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.