본문 바로가기

벌새::Analysis

저작권 고소 메일로 위장한 악성코드 유포 주의 (2016.11.24)

반응형

최근 이메일을 통해 특정 개인이나 단체를 대상으로 정보 탈취를 목적으로 제작한 악성코드를 유포하는 사례가 확인되어 유포 방식에 대해 살펴보도록 하겠습니다.

 

1. 메일 제목 : 저작권관련 고소건<나우마케팅>

 

정보통신망상 부정복제물에 대한 시정권고 통지   
1. 귀 사의 무궁한 발전을 기원합니다.
2. 현재 귀 사가 운영하는 사이트 게시판에 전송(게시)된 게시물에 대한 심의결과, 
정당한 권원을 가지지 아니한 자가 전송한 저작물로 판단되어 저작권법 제133조 
의 3에 따라 붙임과 같이 시정할 것을 권고합니다.
3. 아울러, 귀 사가 위원회의 시정권고를 따르지 않는 경우 저작권법 제133조의2 
에 따른 문화체육관광부장관의 시정명령을 받을 수 있음을 알려드립니다.

 

추후에도 저작권에 어긋나는 홍보활동을하신다면. 고소할예정입니다.
저작권관련 내용들 다삭제하시고 활동해주시기바랍니다. 감사합니다.
<나우마케팅>

지메일(GMail) 계정을 사용하는 마케팅 업체에서 발송한 것처럼 위장한 저작권 고소 메일에는 저작권침해내역.egg 첨부 파일이 동봉되어 있습니다.

 

 

  • 제2016-1576호.pif (SHA-1 : 366806d912b1ac3813131b1f1b5a4d504fd6047d - Microsoft : Trojan:AutoIt/Injector.H)
  • 제2016-1577호.pif (SHA-1 : 03750c1de082165ca616dfa7ce7b6e8386d5d4d1 - ESET : a variant of Win32/Packed.CAB.AU)

 

egg 압축 파일 내부를 확인해보면 동일한 기능을 수행할 것으로 추정되는 MS-DOS 프로그램으로 바로 가기(.pif) 확장명을 가진 문서 이름의 파일이 2개 압축되어 있습니다.

 

Windows 탐색기 기본값에서는 .pif 확장명이 표시되지 않기에 사용자는 문서 파일로 착각하여 실행 시 다음과 같은 악성 행위를 진행할 수 있습니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\ciIFZ
 - SHA-1 : 4c9e1879c854267944b4549dfc66fd1a2c7699b8
 - Microsoft : Win32/Injector.Autoit.CPK

 

C:\Users\%UserName%\AppData\Roaming\PKBa.exe :: "AutoIt Consulting Ltd" 디지털 서명이 포함된 AutoIt v3 Script 정상 파일

 

 

최초 생성된 PKBa.exe 파일은 AutoIt 스크립트로 작성된 ciIFZ 파일을 로딩하여 Oracle VM VirtualBox, VMware, Sandboxie 가상 환경 및 avast! 백신이 설치되어 있는지 체크하여 실행 여부가 결정됩니다.

 

만약 실행 조건에 부합하는 환경인 경우 난독화된 코드 실행을 통해 추가적인 악성코드 다운로드 또는 특정 정보를 수집할 수 있을 것으로 추정됩니다.

 

2. 메일 제목 : 서울 강북경찰서입니다.

 

 

리워드 포인트샵에서 저작권을 침해하는 불법포인트획득이 발견되었습니다.
해쉬태그에 해당하는 게시글을 지워주시고 저작권에 침해되는 게시글신고가 계속해서 들어오고있으니 이점 유의하시길 바랍니다. 감사합니다

또 다른 악성 메일 사례는 특정 사이버수사팀 수사관의 공무원증 사진과 전화번호까지 추가하여 특정 게시글의 해시 태그와 관련된 저작권 침해 메일을 네이버(Naver) 계정을 통해 발송하였습니다.

 

 

  • 해쉬태그.pif (SHA-1 : f3f479ae8f4a9e96a6a5db13c588fa06fc5c9396 - AhnLab V3 : Backdoor/Win32.Infostealer.C1676088)
  • 해쉬태그2.pif (SHA-1 : ab291888c762ce944666e911e27936559f61b554 - 알약(ALYac) : Trojan.Agent.MSIL.Injector)

 

메일에 첨부된 해쉬태그 삭제건의건.egg 압축 파일 내부에는 40MB, 44MB 용량으로 제작된 2개의 MS-DOS 프로그램으로 바로 가기(.pif) 확장명을 가진 파일이 포함되어 있습니다.

 

참고로 안랩(AhnLab)에서 분석을 통해 정보 유출 목적으로 제작된 백도어(Backdoor)로 진단이 이루어지고 있습니다.

 

이번 사례와 같이 특정인에게 수신될 수 있는 다양한 위협적인 콘텐츠(고소, 저작권, 경찰)를 통해 첨부된 파일을 수신자가 오픈하도록 유도하는 행위로 내부 정보를 수집할 수 있다는 점에서 매우 주의하시기 바랍니다.

 

 

특히 Windows 운영 체제 기본값으로 설정된 "알려진 파일 형식의 파일 확장명 숨기기" 체크 박스를 반드시 해제하여 문서 파일처럼 위장한 실행 파일(exe, pif, scr 등)에 속지 않도록 하시기 바랍니다.

728x90
반응형