본문 바로가기

벌새::Analysis

Spam 이메일 : Fwd: Re: Fwd: Scan from a HP Officejet #912724 (2011.11.30)

반응형
최근 해외에서 발송되는 악성 스팸(Spam) 이메일의 링크(URL)를 클릭할 경우 Adobe Flash Player, Oracle JRE(Java Runtime Environment) 취약점을 이용한 SpyEye 악성코드에 감염되는 사례가 꾸준히 확인되고 있습니다.

기존에 확인된 경우에는 유명 소프트웨어 라이센스와 관련된 악성 URL을 이용하고 있었으며, 이번에는 Hewlett-Packard 프린터 관련 문서를 볼 수 있다는 내용으로 악성 사이트로 접속을 유도하고 있습니다.

실제 최종적으로 감염된 악성 파일은 기존에 소개한 "Order N02856" 스팸 이메일과 동일하므로 참고하시기 바랍니다.

● 제목 : Fwd: Re: Fwd: Scan from a HP Officejet  #912724

A document was scanned and sent to you using a Hewlett-Packard OfficeJet JPF49401O

Sent by: Kip
Image(s) : 3
Type: Image (.jpeg) View

HP Officejet Location: location unknown
Device: UPD797S3LOS41319176

2849dc67-03a5bfe1


이메일 내용에서는 Hewlett-Packard 프린터기 사용을 위한 스캔 문서(jpeg 이미지 파일)를 보기 위해 제시된 링크(URL)를 클릭하도록 유도하고 있습니다.

사용자가 해당 링크(URL)를 클릭할 경우 악성 iframe에 추가된 특정 러시아(.ru) 도메인으로 연결이 이루어지며, 해당 사이트에서는 BlackHole Exploit Kit으로 제작된 악성 스크립트(Microsoft : Exploit:Win32/CVE-2010-1885 (VirusTotal : 3/43))를 통해 취약점을 가진 사용자인 경우 감염을 유발할 수 있습니다.

사용자 눈에는 "Please wait page is loading..."이라는 화면과 함께 취약점을 가진 Oracle JRE 플러그인이 설치된 환경에서는 그림과 같은 모습을 확인할 수 있습니다.

  • field.swf(MD5 : 0022af2529fd68e0b12c0c7bfe764dea) - Sophos : Troj/SWFExp-AI (VirusTotal : 1/43)
  • score.swf(MD5 : 3052da8896ae067a347743ffad6b958b) - Dr.Web : Exploit.SWF.193 (VirusTotal : 2/43)
  • v1.jar(MD5 : c54641e22f7645ad23b2826b9dff7f01)

이 과정에서 Adobe Flash Player, Oracle JRE 취약점을 이용한 원격 코드 실행이 이루어지며, 최종적으로 calc.exe, readme.exe와 같은 이름의 파일이 다운로드되어 감염을 유발합니다.

참고로 해당 최종 파일(MD5 : 4c5698ea403be8300d26dbc6bb16f302)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Spyeyes.305664.B (VirusTotal : 30/42)로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\Recycle.Bin\44C6D884028D443
 - MD5 : f95e5462440f305db53cfb9018ff63dc
 - Microsoft : Trojan:Win32/EyeStye.C!cfg (VirusTotal : 14/43)

C:\Recycle.Bin\B6232F3A9E4.exe
 - MD5 : 4c5698ea403be8300d26dbc6bb16f302
 - 알약(ALYac) : Trojan.SpyEye.Bin (VirusTotal : 31/43)


감염된 환경에서는 휴지통 폴더(C:\RECYCLER)와 유사한 [C:\Recycle.Bin] 폴더를 루트킷(Rootkit) 방식으로 생성하여 내부에 악성 파일을 생성하여 동작하도록 구성되어 있습니다.

위와 같은 SpyEye 악성코드는 감염시 일반 사용자의 경우 발견하기 매우 어려우며, 자신도 모르게 개인정보를 비롯한 금융 정보가 외부로 유출될 수 있으므로 수상한 해외 이메일을 수신한 경우에는 제시되는 링크(URL)를 클릭하여 감염되는 일이 없도록 각별히 주의하시기 바랍니다.

728x90
반응형