카드사 보안메일 인증창을 위장하여 정보를 탈취하는 악성 LNK 유포 주의

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 카드사 보안메일 인증창을 위장하여 사용자 정보를 탈취하는 악성 LNK 파일이 유포 중인 정황을 확인하였다. 확인된 악성 LNK 파일은 다음과 같이 카드사를 위장한 파일명을 가지고 있다.

• **card_detail_20250610.html.lnk

그동안에는 파워쉘 스크립트를 활용해 키로깅 및 정보 탈취를 수행하였으나, 금번에는 DLL 파일을 다운로드하여 키로깅 및 정보 탈취를 수행한다는 것이 특징이다. 또한 LNK 동작 시 정상 파일을 함께 실행시켜, 사용자가 악성임을 눈치채지 못하게 하는 특징이 있는데, 이때 실행 시키는 정상 파일을 디코이 파일이라고 표현한다. 기존에는 정상 디코이 파일로 주로 문서 포맷의 파일이 사용되었지만, 이번 사례에서는 예외적으로 HTML파일을 사용했다. 

사용자가 LNK 파일을 실행하면 공격자의 서버에서 추가 HTA 파일과 미끼 문서(HTML)를 temp 폴더에 다운로드하여 실행하며, 미끼 문서는 아래와 같다.

[그림1] 카드사 보안메일 인증창으로 위장한 미끼 문서

HTA 파일이 실행되면, 악성 DLL 파일(sys.dll)과 악성 파일 다운로드 URL이 포함된 텍스트 파일(user.txt)이 C:\Users\{사용자명}\AppData\Local 경로에 생성된다. 이후 rundll32.exe를 통해 악성 DLL이 실행되어 악성 행위가 발현된다.

[그림2] 추가 파일 다운로드 URL

sys.dll은 user.txt에 포함된 URL을 참조하여 총 3개의 DLL 파일(app, net, notepad.log)을 다운로드한다. 3개의 DLL 파일은 모두 Reflective 기법을 통해 실행되며, 그중 app파일은 실행 중인 chrome.exe 프로세스에 인젝션된다. Reflective 기법은 DLL을 메모리에 직접 매핑하여 실행하기 때문에  탐지가 어려워, 악성코드에서 자주 활용되는 기법이다. app과 net은 정보 탈취(Infostealer) 유형의 악성코드이며, notepad.log는 백도어(Backdoor) 유형의 악성코드이다. 각 파일의 주요 기능은 다음과 같다.

[표2] 파일별 기능

notepad.log는 키로깅 데이터를 C:\Users\{사용자명}\AppData\Local\netkey 경로에 저장한다. [그림 3]은 메모리 상에서 확인된 키로깅 데이터이다.

[그림3] 메모리 상에 존재하는 키로깅 데이터

이처럼 정상적인 문서나 메일로 위장한 악성 LNK 파일이 지속적으로 유포되고 있으며, 사용자로 하여금 의심 없이 파일을 실행하도록 유도하는 방식이 점점 정교해지고 있다. 최근에는 신뢰도가 높은 기관을 모방해 사용자들의 각별한 주의가 요구된다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.