본문 바로가기
악성코드 정보

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

by 알 수 없는 사용자 2012. 8. 7.

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

댓글