최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.
최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.
2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷
2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷
금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.
이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.
페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.
해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.
그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.
해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.
그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.
APSB10-07 - Security updates available for Adobe Reader and Acrobat (CVE-2010-0188)
MS10-042 - 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점 (2229593) (CVE-2010-1885)
MS06-014 - MDAC(Microsoft Data Access Components) 원격코드 실행 취약점 (CVE-2006-0003)
해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll
그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (84,480 바이트) 명칭으로 복사하게 된다.
C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe
감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe
'악성코드 정보' 카테고리의 다른 글
Flame 변형으로 알려진 Gauss 악성코드 발견 (0) | 2012.08.10 |
---|---|
SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견 (0) | 2012.08.10 |
ASEC 보안 위협 동향 리포트 2012 Vol.30 발간 (0) | 2012.08.06 |
APT 공격과 관련된 안드로이드 악성코드 발견 (0) | 2012.08.02 |
2012 런던 올림픽 게임으로 위장한 안드로이드 악성코드 발견 (0) | 2012.07.31 |
댓글