벌새::Analysis

RAR 압축 파일 확장명을 숨긴 Snake Keylogger 악성코드 유포 주의 (2021.12.25)

벌새 2021. 12. 25. 17:41
반응형

최근 국내에서 확인된 악성 메일 중 비정상적인 파일 확장명을 가진 첨부 파일이 포함되어 유포되고 있는 것이 확인되어 어떤 기능을 하고 있는지 살펴보도록 하겠습니다.

 

PowerISO 이미지 파일(.daa)을 사용하는 정보 수집 악성코드 주의 (2021.7.19)

 

참고로 기존에 생송한 .daa PowerISO 이미지 파일 형태를 가진 메일 첨부 파일을 통해 유포가 이루어진 사례가 있으므로 참고하시기 바랍니다.

 

"swift copy" 악성 메일

"swift copy" 메일 제목으로 수신된 메일에서는 은행 송금 코드(Swift) 복사본 파일을 첨부하였으니 파일을 확인하도록 유도하는 내용으로 구성되어 있습니다.

 

그런데 첨부된 파일은 Swift Copy.uue 형태로 되어 있어서 일반 사용자는 해당 파일을 사실상 열어볼 수 없을 가능성이 높으며, Swift Copy.uue 형태로 파일 첨부를 한 이유는 메일 필터링 우회 목적으로 보이며 실제 파일은 무엇인지 살펴보도록 하겠습니다.

 

Swift Copy.uue 첨부 파일 포맷 정보

Swift Copy.uue 파일 유형을 확인해보면 RAR 압축 포맷 구조임을 확인할 수 있으며, 사용자가 Swift Copy.uue.rar 형태로 변경할 경우 내부에 압축된 파일을 확인 가능합니다.

 

Swift Copy.uue 압축 파일 내부 모습

RAR 압축 파일 내에는 Swift Copy.exe 실행 파일(SHA-1 : e73b8261d3ad543e211f4afb6692ae3015be4e3d - Malwarebytes : Spyware.TelegramBot)이 존재하며, 사용자가 문서 파일로 착각하고 실행할 경우 다음과 같은 악의적인 행위를 수행할 수 있습니다.

 

RegSvcs.exe 정상 파일로 동작하는 프로세스 모습

.NET 기반으로 제작된 해당 악성 파일은 "C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe" 정상 파일을 추가 로딩합니다.

 

RegSvcs.exe 프로세스의 .NET assemblies 정보

실행된 RegSvcs.exe 정상 파일 구조를 확인해보면 iJMJnUDAnLMGBkvrphkwZ 모듈이 인젝션되어 있는 것을 확인할 수 있으며, 덤프(Dump)를 통해 iJMJnUDAnLMGBkvrphkwZ.exe 파일(SHA-1 : 56973ff6c0e9581d3cef513d0682397f480a433a - AhnLab V3 : Trojan/Win.SnakeKeylogger.R433068)을 확인할 수 있습니다.

 

RegSvcs.exe 파일 분석 정보

실행된 RegSvcs.exe 파일을 확인해보면 "Snake Keylogger" 이름으로 동작하는 정보 유출 악성코드임을 알 수 있으며, 사용자 IP 정보 및 컴퓨터 이름을 체크하며 특정 Telegram Bot과 통신을 시도할 수 있습니다.

 

이를 통해 다음과 같은 주요 악성 행위를 수행할 수 있습니다.

 

  • 웹 브라우저(Chrome, Firefox, Microsoft Edge, SeaMonkey, Comodo IceDragon, Cyberfox, Pale Moon, Waterfox, SlimBrowser, Opera 등)에 저장된 로그인 정보
  • Thunderbird, Outlook 이메일 클라이언트의 IMAP/POP3/HTTP/SMTP 계정 정보
  • FileZilla 파일 전송 프로그램에 등록된 FTP 정보
  • Pidgin 메신저 프로그램 로그인 정보
  • 클립보드, 스크린 샷 등
  • 다양한 보안 제품의 서비스 무력화
  • 특정 분석툴 동작 시 실행 중지

위와 같은 다양한 정보 유출을 통해 수집된 정보를 이용하여 추가적인 피해를 유발할 수 있을 것으로 보입니다.

 

그러므로 메일에 첨부된 파일의 파일 확장명이 이상하게 구성되어 있거나 압축 파일로 구성된 경우에는 내부 파일을 함부로 실행하여 대량의 정보가 외부로 유출되는 일이 없도록 각별히 주의하시기 바랍니다.

320x100
반응형