국내 유명 포털사이트 위장한 정보유출 악성코드
Contents
국내 유명 포털사이트 위장한 정보유출 악성코드
ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다.
악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다.
그림1. 피싱메일
NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다.
그림2. NAVER.zip 파일
해당 파일은 아래와 같이 파일명과 아이콘을 국내 포털 사이트 관련 프로그램으로 위장하고 있다.
그림3. 네이버지키미.exe 파일 속성
파일 실행 시 %AppData%\Local\Microsoft\Outlooka 폴더를 생성한 후 AWasctUI.exe, rdpclipe.exe 등 추가 악성파일을 드롭 및 실행한다.
AWasctUI.exe 파일은 사용자 PC 정보를 수집하여 전송하며, rdpclipe.exe 파일은 키로깅을 수행한다. 또한, 해당 파일들이 자동으로 실행될 수 있도록 시작프로그램 폴더에 파일 각각에 대해 아래와 같이 링크 파일을 생성한다.
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AWastUI.exe.lnk
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rdpclipe.exe.lnk
rdpclipe.exe 파일 실행 시 \AppData\Local\Microsoft\Outlooka 폴더에 COMMA1UP_RKey.txt를 생성하고 해당 파일에 사용자 키입력 …
ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다.
악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다.
그림1. 피싱메일
NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다.
그림2. NAVER.zip 파일
해당 파일은 아래와 같이 파일명과 아이콘을 국내 포털 사이트 관련 프로그램으로 위장하고 있다.
그림3. 네이버지키미.exe 파일 속성
파일 실행 시 %AppData%\Local\Microsoft\Outlooka 폴더를 생성한 후 AWasctUI.exe, rdpclipe.exe 등 추가 악성파일을 드롭 및 실행한다.
AWasctUI.exe 파일은 사용자 PC 정보를 수집하여 전송하며, rdpclipe.exe 파일은 키로깅을 수행한다. 또한, 해당 파일들이 자동으로 실행될 수 있도록 시작프로그램 폴더에 파일 각각에 대해 아래와 같이 링크 파일을 생성한다.
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AWastUI.exe.lnk
- \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rdpclipe.exe.lnk
rdpclipe.exe 파일 실행 시 \AppData\Local\Microsoft\Outlooka 폴더에 COMMA1UP_RKey.txt를 생성하고 해당 파일에 사용자 키입력 …
IoC
http://66.94.98.48/ESOK/post2.php
66.94.98.48
http://downfile.navers.com-pass.online/NAVER.zip
http://mail2.daum.confirm-pw.link
http://66.94.98.48/ESOK/dwn.php?downfname=
http://mail2.daum.confirm-pw.link/kakao/?email=
66.94.98.48
http://downfile.navers.com-pass.online/NAVER.zip
http://mail2.daum.confirm-pw.link
http://66.94.98.48/ESOK/dwn.php?downfname=
http://mail2.daum.confirm-pw.link/kakao/?email=