국내 유명 포털사이트 위장한 정보유출 악성코드
ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다.
악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다.
그림1. 피싱메일
NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다.
그림2. NAVER.zip 파일
해당 파일은 아래와 같이 파일명과 아이콘을 국내 포털 사이트 관련 프로그램으로 위장하고 있다.
그림3. 네이버지키미.exe 파일 속성
파일 실행 시 %AppData%\Local\Microsoft\Outlooka 폴더를 생성한 후 AWasctUI.exe, rdpclipe.exe 등 추가 악성파일을 드롭 및 실행한다.
AWasctUI.exe 파일은 사용자 PC 정보를 수집하여 전송하며, rdpclipe.exe 파일은 키로깅을 수행한다. 또한, 해당 파일들이 자동으로 실행될 수 있도록 시작프로그램 폴더에 파일 각각에 대해 아래와 같이 링크 파일을 생성한다.
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AWastUI.exe.lnk
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rdpclipe.exe.lnk
rdpclipe.exe 파일 실행 시 \AppData\Local\Microsoft\Outlooka 폴더에 COMMA1UP_RKey.txt를 생성하고 해당 파일에 사용자 키입력 등의 로그를 저장한다.
그림4. 생성된 COMMA1UP_RKey.txt 파일
AWasctUI.exe 파일 실행 시 cmd /c systeminfo 명령어를 이용하여 그 결과를 Outlooka 폴더에 SysInfo_UP_[day]_[Hour]_[min].pdf 으로 저장한다.
그림5. 생성된 SysInfo_UP_[day]_[Hour]_[min].pdf 파일
이후 파워쉘을 통해 tree 명령어를 실행하여 A부터 Z 드라이브를 탐색하여 해당 드라이브 폴더 하위에 존재하는 폴더와 파일 목록을 UP[드라이브명] 파일에 저장한다.
powershell
$dir = 'C:\Users\vmuser\AppData\Local\MICROS~1\Outlooka\';
$gps = @('A','B','C','D','E','F','G','H','I','H','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z');
foreach ($gp in $gps){$drv = $gp + ':\';
if([System.IO.Directory]::Exists($drv)){
$path = $dir + '\UP' + $gp;
tree /f "$drv" | Out-File -Encoding default -FilePath $path -Width 5000;} }
이후 Outlooka 폴더 내 파일 중 파일명에 ‘UP’가 포함되어있는 COMMA1UP_RKey.txt, UP[드라이브명] 등 수집한 정보를 저장한 파일들을 hxxp://66.94.98[.]48/ESOK/post2.php로 전송한다.
그림6. 정보 전송 패킷 화면
또한, nlashine.ini 파일에 아래와 같은 정보를 저장하며, 해당 값은 수집한 정보 전송시 filename에 사용된다.
| [amazon] idnx=[(PC명)](user명)[IP주소](랜덤값) [scaninfo] exile=1 |
nlashine.ini 내용
이후, 66.94.98[.]48/ESOK/dwn.php?downfname=[(PC명)](user명)[IP주소](랜덤값) 에 접속하여 추가 데이터를 다운로드하여 AppData\Local\MICROS~1\Outlooka\dwn.dat 에 저장하기 때문에 본문에 설명한 정보 유출 이외의 악성 행위를 수행할 가능성이 존재한다.
위 악성 파일 외에도 네이버지키미.exe는 TEMP 폴더에 OTPGenerator.exe를 드롭 및 실행하여 아래와 같은 화면이 나타나게 되어 사용자가 악성코드가 실행되고 있음을 인지하기 어렵다.
그림7. OTPGenerator.exe 실행 화면
본문에 설명한 악성코드는 국내 포털 사이트를 위장하고 있어, 국내 사용자를 타겟으로 제작된 것으로 추정된다. 이처럼 정상 파일을 위장한 악성파일은 꾸준히 유포되고 있어 사용자의 각별한 주의가 필요하다.
V3에서는 해당 악성코드에 대해 아래와 같이 진단하고 있다.
[파일 진단]
- Dropper/Win.Agent
- Infostealer/Win.Agent
- Trojan/Win.KeyLogger
