‘보안 메일’도 안심 금물! 카드사 사칭 악성 파일 유포 중

안랩이 최근 국내 유명 카드사 보안 메일로 위장한 악성 파일이 유포되는 정황을 확인했다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 패스워드 파일 위장 악성 LNK 유포 사례와 유사한 흐름을 보이지만, 최초 LNK 파일에서 실행되는 명령어가 변경된 것이 특징이다. 특히 감염 환경의 보안 서비스 동작 여부에 따라 추가 파일 실행 및 악성 행위 방식이 달라지는 구조를 보였다. 이번 사례의 주요 동작과 사용자 주의사항을 살펴보자.

보안 서비스 동작 여부에 따라 달라지는 악성 행위

악성 LNK 파일에는 파워셸(PowerShell)을 통해 mshta 명령을 실행하는 구문이 포함돼 있다. 파일 실행 시 특정 주소에 존재하는 HTA 파일이 mshta.exe를 통해 실행되며, 해당 HTA 파일은 난독화된 VBScript 코드를 포함한다. 이후 정상 문서처럼 보이는 디코이 문서를 내려받아 실행해 사용자의 의심을 낮추는 흐름을 보인다.

[그림 1] 난독화된 VBScript

 

이후 악성코드는 Windows Defender 보안 서비스 동작 여부를 확인한 뒤, 환경에 ss따라 서로 다른 방식으로 추가 파일을 내려받고 실행한다.

Windows Defender 서비스가 동작 중인 환경에서는 Curl을 이용해 지정된 주소에서 pipe.log 파일을 %LocalAppData% 경로로 다운로드한다. 해당 파일은 AES로 암호화돼 있으며, 복호화 후 pipe.zip으로 저장된 뒤 압축이 해제된다.

pipe.zip 내부에는 [그림 2]와 같이 1.log, 1.ps1, 2.log 파일이 존재한다. 이들은 각각 정보 탈취 및 백도어 동작, 파일 내용을 읽은 뒤 메모리 상에서 Base64 디코딩 결과를 실행하는 기능, 키로깅, 클립보드 데이터 수집 기능을 수행한다.

[그림 2] pipe.zip 파일 내부

 

파일명	기능
1.log	정보탈취 및 백도어 기능 수행 (Base64 인코딩 형태)
1.ps1	파일명을 인자로 받아 해당 파일의 내용을 읽은 뒤, Base64 디코딩 결과를 메모리 상에서 실행
2.log	키로깅 및 Clipboard 데이터 탈취 기능 수행 (Base64 인코딩 형태)

[표 1] pipe.zip 내부 파일

 

반면 Windows Defender 서비스가 중지된 상태일 경우 %LocalAppData% 경로에 user.txt와 sys.log 파일을 다운로드한다. sys.log 파일은 내장된 AES 키를 이용해 복호화된 뒤 sys.dll로 저장되며, 이후 rundll32를 통해 로드된다. Sys.dll은 다운로더 악성코드로, VBox 및 VMware 가상 머신 환경에서는 실행을 중단한다.

%LocalAppData%\user.txt 파일에 포함된 암호화된 데이터를 복호화하면 3개의 URL이 확인되며, 각 URL로부터 추가 악성 파일을 %LocalAppData% 경로에 다운로드한다.

다운로드 URL	저장 경로
hxxps://drive.google[.]com/uc?export=download&id=1veetviG********	%LOCALAPPDATA%\notepad.log
hxxps://drive.google[.]com/uc?export=download&id=1PTs95g********	%LOCALAPPDATA%\net
hxxps://drive.google[.]com/uc?export=download&id=1EkyeoS********	%LOCALAPPDATA%\app

[표 2] 추가 다운로드 파일

 

주요 악성 기능

이번 공격에서는 감염 환경에 따라 여러 악성 구성 요소가 추가 실행되며, 각 파일은 백도어 또는 정보 탈취 기능을 수행하는 것으로 확인됐다.

추가 실행되는 악성 파일 중 notepad.log는 백도어 유형의 악성코드로, 원격 명령 실행, 파일 및 디렉터리 정보 수집, 파일 다운로드ž업로드, 호스트 정보 업로드, 브라우저 정보 수집 등의 기능을 수행한다. 또한, 브라우저 확장 및 암호화폐 지갑 관련 경로를 탐색하고, 원격 관리 도구(MeshAgent) 설정 파일 다운로드, 키로깅 및 클립보드 데이터 수집 기능도 수행한다.

또 다른 악성 파일인 net은 인포스틸러 유형의 악성코드로, Chrome과 Firefox 브라우저 계정 정보 및 Thunderbird, Group Mail, IncrediMail 등 메일 클라이언트 계정 정보를 탈취하는 것으로 분석됐다.

[그림 3] net 파일 코드 중 일부

 

app 역시 인포스틸러 악성코드다. 이 파일은 chrome.exe 프로세스를 탐색한 뒤, 명령행에 –type=이 없는 메인 Chrome 프로세스에 복호화된 코드를 인젝션해 Chrome, Edge, Whale 브라우저의 쿠키 정보를 탈취한다.

[그림 4] app 파일 코드 중 일부

 

대응 방안

이번 사례는 사용자가 유명 카드사 보안 메일로 오인해 악성 파일을 실행하도록 유도한다는 점에서 주의가 필요하다. 사용자는 보안 메일처럼 보이는 파일이라도 출처와 파일 형식을 확인하고, 의심스러운 파일 실행을 지양해야 한다.

안랩은 이번 사례와 관련해 다음과 같은 대응 방안을 안내했다.

1. 등록된 레지스트리 확인

등록된 레지스트리를 점검하고, 의심스러운 레지스트리가 확인될 경우 해당 항목을 삭제한다.

2. 의심스러운 파일 삭제

%TEMP% 또는 %LOCALAPPDATA%\pipe 경로에 1.log, 1.ps1, 2.log와 같은 파일이 존재할 경우, 이는 악성 파일일 가능성이 있으므로 즉시 삭제해야 한다.

이번 공격은 정상 문서로 위장한 미끼 파일을 활용하고, 보안 서비스 동작 여부에 따라 악성 행위를 달리 수행하는 사례다. 사용자는 카드사를 사칭한 보안 메일 또는 관련 파일을 열람할 때 각별히 주의해야 하며, 기업은 의심스러운 레지스트리 및 파일 생성 여부를 점검해야 한다.