본문 바로가기

벌새::Analysis

Spam 메일 : RingCentral 발송 관련 New Fax Message 첨부 파일 주의 (2013.12.21)

해외 클라우드 기반 모바일, 팩스, 이메일 통신을 위한 전화 시스템 관련 서비스를 운영하는 RingCentral 업체에서 발송한 것으로 위장한 악성 스팸 메일이 다수 국내에 유포 중인 것으로 확인되고 있습니다.

수신된 이메일의 제목은 "New Fax Messange on //년도" 형태로 등록되어 있으며, RingCentral 업체에서 발송한 메시지를 보기 위해서는 첨부 파일(fax.zip)을 오픈하도록 유도하고 있습니다.

  • fax.pdf.exe (MD5 : 28cf295e5ba64a341379887f16c85895) - AhnLab V3 : Trojan/Win32.Zbot (VT : 36/44)
  • fax.pdf.exe (MD5 : d797fe43ef83ebc77dc457619b6574fc) - AhnLab V3 : Spyware/Win32.Zbot (VT : 34/49)

메일에 첨부된 fax.zip 압축 파일 내부에는 fax.pdf.exe 실행 파일이 포함되어 있으며, PDF 문서 아이콘 모양을 하고 있기에 Windows 기본값 환경에서는 문서 파일로 착각하여 실행할 수 있는 위험성이 있습니다.

그러므로 보안을 위해서는 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목 체크 및 "알려진 파일 형식의 파일 확장명 숨기기" 항목을 체크 해제하시고 사용하시길 추천해 드립니다.

 

사용자가 첨부 파일을 다운로드하여 PDF 문서 아이콘으로 위장한 악성 파일을 실행할 경우에는 다음과 같은 다수의 악성 파일을 다운로드 시도할 수 있습니다.

 

  • h**p://bharattruck.com/images/al0212.exe
  • h**p://seowebtrix.com/wp-content/uploads/2013/10/al0212.exe
  • h**p://atribi.com/ecom/images/al0212.exe (MD5 : dd750d5961f0923e35d8abcc8a2aa2e9) - Kaspersky : Trojan-Spy.Win32.Zbot.quug (VT : 41/46)
  • h**p://anandcredit.com/images/al.exe
  • h**p://cablemen.com/images/al.exe
  • h**p://udeforex.com/images/al.exe (MD5 : 10e0ca3f1f6f796955869ff6a6ab03b2) - Kaspersky : Trojan-Spy.Win32.Zbot.qynt (VT : 33/47)

이를 통해 다운로드된 악성 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp" 폴더에 임의의 파일로 임시 생성하여 다음과 같은 악성 파일을 추가합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Gaziva
C:\Users\(사용자 계정)\AppData\Roaming\Gaziva\wiij.exe
 - MD5 : 3297f9352cd27992d4df15dfc769b40c
 - nProtect : Trojan-Spy/W32.ZBot.333824.AL (VT : 32/46)

 

C:\Users\(사용자 계정)\AppData\Roaming\Yvew
C:\Users\(사용자 계정)\AppData\Roaming\Yvew\syhe.exe
 - MD5 : 8524b4e033ccb6c17f3082cf8d240dda
 - nProtect : Trojan-Spy/W32.ZBot.374784.X (VT : 25/47)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Wiij = C:\Users\(사용자 계정)\AppData\Roaming\Gaziva\wiij.exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Syhe = C:\Users\(사용자 계정)\AppData\Roaming\Yvew\syhe.exe

 

생성된 파일들은 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에 랜덤(Random)한 폴더와 파일명을 이용하며, Windows 시작시 자신을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - TCP Query User{F506D663-D2CD-49D5-B0CA-8676B6D45E06}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\windows\
system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

 - UDP Query User{9C1D15A9-363C-46CA-9111-E71009AA4130}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows\
system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

감염된 환경에서는 Windows 작업을 위한 호스트 프로세스 파일(C:\Windows\System32\taskhost.exe)을 Windows 방화벽에서 허용으로 설정하여 TCP, UDP 프로토콜을 통한 통신을 할 수 있도록 변경합니다.

이를 통해 Windows 시작시마다 자동으로 실행된 taskhost.exe 프로세스를 통해 다양한 외부 서버와 통신을 시도할 수 있으며, 추가적인 악성 파일 다운로드를 통한 업데이트 및 사용자 PC에 저장된 Windows 메일(C:\Users\(사용자 계정)\AppData\Local\Microsoft\Windows Mail)에 저장된 주소록 정보를 악용하여 스팸 메일 및 계정 정보 등을 수집할 수 있습니다.

 

그러므로 유명 서비스에서 발송한 메일로 위장하여 첨부 파일을 실행하도록 유도하는 경우에는 절대로 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.