인터넷 공유기 설치파일 위장한 AppleSeed 유포
Contents
ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다.
- 파일명 : firmware upgrade installer.exe
EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이 발생한다. (해당 공유기 펌웨어와 AppleSeed 악성코드와는 관련이 없다.) 참고로 과거 문서 파일을 위장한 유형에서는 실행 시 문서 및 그림 파일을 팝업하여 사용자가 정상적으로 문서나 그림을 실행시킨 것으로 보이도록 위장하였다.
팝업창의 확인 버튼을 클릭하면 EXE는 내부적으로 “ShellExecuteExW” API에 “iptime.com” 를 API 파라미터로 전달하여 마치 정상적으로 펌웨어 업데이트가 진행되어 제조사 홈페이지에 접속하는 것처럼 보이도록 한다.
웹 사이트 접속과 동시에 사용자 PC의 백그라운드에서는 AppleSeed 악성코드가 설치된다. AppleSeed는 백도어 악성코드로서 C&C로부터 명령을 받아 정보 탈취 및 추가 …
- 파일명 : firmware upgrade installer.exe
EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이 발생한다. (해당 공유기 펌웨어와 AppleSeed 악성코드와는 관련이 없다.) 참고로 과거 문서 파일을 위장한 유형에서는 실행 시 문서 및 그림 파일을 팝업하여 사용자가 정상적으로 문서나 그림을 실행시킨 것으로 보이도록 위장하였다.
팝업창의 확인 버튼을 클릭하면 EXE는 내부적으로 “ShellExecuteExW” API에 “iptime.com” 를 API 파라미터로 전달하여 마치 정상적으로 펌웨어 업데이트가 진행되어 제조사 홈페이지에 접속하는 것처럼 보이도록 한다.
웹 사이트 접속과 동시에 사용자 PC의 백그라운드에서는 AppleSeed 악성코드가 설치된다. AppleSeed는 백도어 악성코드로서 C&C로부터 명령을 받아 정보 탈취 및 추가 …
IoC
39b39ca9cbf9b271590d06dfc68a68b7
6b10482c939fc33c3a45a17f021df32b
851e33373114fef45d0fe28c6934fa73
9ac572bdca96a833a40edcaa91e04c2b
c99f6d1c7c0d55ce1453dd08c87ee2b4
http://fedra.p-e.kr/
http://leomin.dothome.co.kr/update/?mode=login
http://printware2.000webhostapp.com/
6b10482c939fc33c3a45a17f021df32b
851e33373114fef45d0fe28c6934fa73
9ac572bdca96a833a40edcaa91e04c2b
c99f6d1c7c0d55ce1453dd08c87ee2b4
http://fedra.p-e.kr/
http://leomin.dothome.co.kr/update/?mode=login
http://printware2.000webhostapp.com/