본문 바로가기
악성코드 정보

'첨부도면 견적'을 위장하여 LZH 압축파일로 유포 중인 악성코드

by 분석팀 2020. 4. 3.

자사에서는 지속적으로 피싱 메일을 통해 악성코드가 꾸준히 유포되고 있음을 확인하고 있다. 아래 [그림1]과 같이 어제(42)도 견적서 전달로 위장하는 피싱 메일이 유포 중임을 발견했다. 지난 블로그 글에서도 언급했듯이 공격자들은 피싱 메일에 악성파일을 다양한 압축 파일의 형태로 첨부하여 유포한다.

 

 

[피싱 메일에 악성코드 첨부 유포 관련 지난 블로그 일부]

.alz 압축 파일

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포
https://asec.ahnlab.com/1282

.7z 압축 파일 3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중
https://asec.ahnlab.com/1294
.zip 압축 파일

압축 툴마다 압축해제 방식의 차이를 이용한 공격기법 (WinRAR 사용유도)
https://asec.ahnlab.com/1306

.img 이미지 (압축 형태) 파일

견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용)
https://asec.ahnlab.com/1297

.LZH 압축 파일 등장 현재 게시글

 

과거에는 실행파일 혹은 문서파일을 직접 첨부했으나 근래에는 Zip, 7z 등과 같은 압축파일이나 특정 이미지 파일(IMG)과 같은 압축 형식으로 포장하여 한번 감싼 뒤 첨부한다.

 

이 번에는 .LZH 확장자를 가진 압축 파일을 첨부했다. 해당 압축 파일은 WinRAR 혹은 반디집 압축 툴을 통해 압축 해제되며 압축 파일 내부에는 견적 품목 리스트.exe’ 정보탈취용 악성 실행 파일이 존재한다. 견적 품목 리스트 목록으로 철썩 같이 믿고있는 사용자는 압축해제 후 내부 파일을 실행하여 악성코드에 감염되는 것이다.

 

[그림1] – 견적 확인 유도한 피싱 메일

 

[그림2] - 첨부 된 LZH 압축파일

 

내부에 포함 된 정보 탈취형 악성코드는 위에 표의 .img파일로 첨부하여 유포되었던 악성코드와 같은 류이다. 파일 실행 시 VBS파일과 EXE파일(자기자신 복제)을 생성하며 VBS파일은 레지스트리 RUN키 등록하여 윈도우 시작 시 자동 실행 될 수 있도록 한다. VBS는 복제된 EXE 파일을 실행하는 기능을 한다.

 

추가적으로 네트워크에 접속하여 추가 악성 이미지를 다운로드하며 해당 이미지는 시스템에 파일로 생성되지는 않고 메모리 상에서 복호화하여 동작한다.

 

 

안랩 V3 제품군에서는 위 유형의 악성코드를 다음과 같이 탐지하고 있다.

 

  • Trojan/Win32.Inject.R331099 (2020.04.02.03) 


 

댓글