울지않는벌새 : Security, Movie & Society

1MB 파일 크기로 위장한 JS 스크립트 파일을 통한 Locky 랜섬웨어 유포 사례 (2016.5.26)

벌새::Analysis

압축 파일이 첨부된 대규모 메일 발송을 통해 랜섬웨어(Ransomware) 감염을 유발하는 유포 행위 중 2016년 5월 12일경 확인된 1MB 크기를 가진 JS 스크립트 파일 사례를 살펴보도록 하겠습니다.

 

1. 메일 제목 : FW: vendors

 

 

해당 스팸(Spam) 메일에 첨부된 vendors_950B9A.zip 압축 파일은 다음과 같은 동일한 Hash값을 가진 JS 스크립트 파일이 포함되어 있습니다.

 

  • balance 40482.js (SHA-1 : f7b68530e22363f935a8ad7459e91b521e8547c4) - 알약(ALYac) : Trojan.Downloader.JS.VB

특이한 점은 기존의 과는 다르게 JS 파일 크기가 1MB 수준으로 증가하였다는 점이며, 이는 백신 진단 우회 목적으로 추정됩니다.

 

 

JS 스크립트 코드를 확인해보면 파일 다운로드, 생성, 실행과 관련된 악의적인 코드는 중간 영역에 포함되어 있으며 앞뒤로는 ddd......ddd 문자가 대량으로 포함된 더미 코드가 포함되어 있는 것을 확인할 수 있습니다.

 

  • h**p://bom***styles.com/g3hgsa <미확인>

이를 통해 특정 서버에서 악성 파일 다운로드를 시도하고 있으며, 정상적으로 다운로드가 이루어질 경우 "C:\Users\(로그인 계정명)\AppData\Local\Temp\x8VPnsBhqW4vLAA.exe" 파일로 생성되어 동작하도록 구성되어 있습니다.

 

2. 메일 제목 : FW: fixed asset

 

 

또 다른 유사 스팸(Spam) 메일을 확인해보면 첨부된 fixed asset_E41F77.zip 압축 파일에는 다음과 같은 동일한 Hash값을 가진 JS 스크립트 파일이 포함되어 있습니다.

 

  • balance 400334.js (SHA-1 : a0b21bce060485f41e7ee82e443a2d4208cbd689) - Microsoft : TrojanDownloader:JS/Nemucod.FF

ZIP 압축 파일에 추가된 3개의 JS 스크립트 파일 역시 1MB 파일 크기를 가진 것을 알 수 있습니다.

 

 

  • h**p://scrubs.dre**cool.co/zcv3hhs (SHA-1 : 579e5c14371770e8763c74f9017e48f68391a683) - Hauri ViRobot : Trojan.Win32.Z.Locky.197632.J[h]

사용자가 JS 스크립트 파일을 실행할 경우 wscript.exe 시스템 파일(Microsoft ® Windows Based Script Host)을 통해 코드가 실행되어 특정 서버로부터 파일 다운로드를 통해 "C:\Users\(로그인 계정명)\AppData\Local\Temp\a5x7NVhvYs9PJ.exe" 파일을 생성 및 실행되도록 구성되어 있습니다.

 

이를 통해 문서, 사진, 압축 파일 등을 .locky 확장명으로 암호화하는 Locky 랜섬웨어 감염이 이루어질 수 있었던 것으로 판단됩니다.

 

그러므로 메일에 첨부된 JS 스크립트 파일은 실행 시 악성 파일 다운로드 기능이 있음을 명심하시고 호기심에 클릭하는 일이 없도록 주의하시기 바랍니다.