튀르키예 사용자들을 대상으로 유포중인 DBatLoader(ModiLoader)
최근 AhnLab SEcurity intelligence Center(ASEC)에서는 ModiLoader(DBatLoader) 악성코드가 이메일로 유포되는 사례를 확인하였다. ModiLoader는 최종적으로 SnakeKeylogger를 실행시킨다. SnakeKeylogger는 닷넷 언어로 제작된 Infostealer 유형의 악성코드로, 이메일, FTP, SMTP 또는 Telegram 등을 이용한 데이터 유출 방법을 가지고 있는 것이 특징이다. [그림 1]은 유포 이메일의 본문으로, 튀르키예어로 작성되어 있으며 튀르키예 은행을 사칭하여 유포되었다. 거래 내역
MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의
2024년 12월, AhnLab SEcurity intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다. 해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.
CMD파일로 유포되는 DBatLoader
AhnLab SEcurity intelligence Center(ASEC)은 최근에 CMD 파일을 통해 유포 중인 악성코드를 확인했으며 과거에 피싱 이메일에 EXE파일을 포함한 RAR파일 형태로 유포하던 DBatLoader(ModiLoader)라는 Downloader 악성코드임을 확인했다. 해당 파일은 “UTF-16LE”를 의미하는 “FF, FE”가 포함되어 있어 내부 코드를 텍스트 에디터로 열었을 때 코드의 내용이 정상적으로 출력되지 않는다. 하지만, “FF, FE”를 삭제 하거나 “UTF-8″로 변환하면
