하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

입사지원 메일로 위장한 악성코드 감염 주의
등록일 :
2017.08.30

□ 개요

 최근 국내에 입사지원내용으로 위장한 악성코드가 발견되었다. 능숙한 한국어로 작성된 이메일의 내용과 첨부파일이 포함되어 유포가 되었으며, 첨부파일은 EGG 압축 파일로 이루어져있다. 압축파일에는 문의사항.lnk”신분증사본.jpg.lnk” 바로가기 파일을 통해 숨김 속성을 가진 악성파일을 실행시킨다. 해당 악성코드는 반디집(Bandizip)의 파일명과 아이콘으로 위장하고 있으며, 비너스락커 랜섬웨어 유포방식과 유사점이 발견되었다.

 

 

□ 내용

이번에 발견된 악성코드는 지원서로 위장한 이메일에 지원합니다.egg” 라는 파일을 첨부하였다. 메일은 평범한 입사지원 내용으로 보이지만, 첨부파일에는 실제 악성코드가 담겨져있다.

 


 

[그림 1] 입사지원으로 위장한 메일 내용

 

 

지원합니다.egg” 첨부파일은 문의사항”, “신분증사본.jpg” 파일이 첨부되어있으며, 이는 문서파일과 그림파일처럼 보이지만, 숨김속성의 악성파일을 실행하는 바로가기(.lnk)파일이다. 악성파일은 반디집의 파일명과 아이콘을 위장했다. 숨김속성의 경우, 압축 해제시 환경에 따라 악성코드를 제외한 두 개의 바로가기 파일만 보일 수 있다.   

 

[그림 2] 숨김 속성의 악성파일 실행


 

이번에 발견된 바로가기 파일은 비너스락커 바로가기 파일의 특정경로 “C:\Users\l\Desktop\양진이\VenusLocker_korean.exe”와 일치하였다. 그 외에도 두 악성코드는 (1)유창한 한국어로 작성된 메일 내용, (2).EGG 압축파일, (3)바로가기 파일 사용, (4)지메일 계정 사용, (5)디코딩 및 인젝션 코드가 유사하다. 하지만 이메일에 첨부된 압축파일 암호 유무성, 악성코드의 숨김속성 등에서는 일부 차이가 있다.

 

 

[그림 3] 바로가기 파일 비교

 

실행하는 악성코드는 실제 비너스락커의 행위를 하는 악성코드가 아닌 백도어의 RAT 악성코드이다.  

바로가기 파일을 실행할 시 악성코드가 실행되며 아래와 같이 숨김속성의 자가복제,

부팅시 자동실행을 위한 레지스트리 등록, 키보드 입력 값을 암호화하여 저장하는 등의 행위를 한다.

 

자가복제 경로 :

1. %temp%\악성코드파일명\악성코드파일명.exe (숨김속성) 

2. C:\Users\사용자명\AppData\Roaming\Program Files\csrss.exe (숨김속성)

 

레지스트리 경로 :  

키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

이름 : csrss 

값 : C:\Users\사용자명\AppData\Roaming\Program Files\csrss.exe 

 

키로깅 경로 :

C:\Users\사용자명\AppData\Roaming\Imminent\Logs\D-M-Y(ex.29-08-2017) 

 

[그림 4] 키보드 입력 값이 실시간으로 암호화되어 저장 

 

 

최근 국내 사용자를 위협하는 맞춤형 악성 메일이 발견되고 있어 사용자들의 각별한 주의가 필요하다.

 

바이로봇 업데이트 내역

Trojan.Win32.S.Agent 외 다수

 

관련 링크 - <대학교 문의사항 메일로 위장한 악성코드>

 http://www.hauri.co.kr/information/issue_view.html?intSeq=326&page=1&article_num=260





 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top