Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Zeus Panda Banker (MS Word)
작성일 2018-08-24 조회 593

 

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

유포 방식: E-Mail 내 첨부파일 (MS Word)

 

메일 내용

 - 제목: 무선 요금 청구서

 - 내용: doc 파일을 다운받는 링크 제공

 

 

 

[그림] 무선 요금 청구서를 사칭한 스팸메일

 

 

스팸메일은 무선 요금 청구서를 위장하여 악성 스크립트가 삽입된 문서를 열람 및 악성 파일 다운로드 유도 실행합니다.

 

 

 

[Downloader] 실행파일 (doc)

 

행위: 악성코드 다운로더
파일 크기: 201,216 bytes
SHA256: e1a2cdab779ee1237c638fea4b9d4dca0591d16f9e4fc208a7486fd6d26523cf
C2 
- backhomebail[.]com 
- biggaybrunch[.]info
- biggaybrunch[.]net
- biggaybrunch[.]org
- clearrochester[.]com
- dtvrochester[.]com
- gaymovetodenver[.]com
- glbtmovetodenver[.]com
- hatcreekurnco[.]com
- lgbtmovetodenver[.]com
- omnibox[.]me
- omnibox[.]mobi
- outcolorado[.]info
- outcolorado[.]net
- outcolorado[.]org
- smarthomeiconnect[.]com
- wildblueny[.]com
- hxxp://alyssaritchey[.]com/wp-content/plugins/title-remover/1
- hxxp://alyssaritchey[.]com/wp-content/plugins/title-remover/2
- hxxp://alyssaritchey[.]com/wp-content/plugins/title-remover/3
- hxxp://community-growth[.]org/wp-content/plugins/cryout-theme-settings/inc/1
- hxxp://community-growth[.]org/wp-content/plugins/cryout-theme-settings/inc/2
- hxxp://community-growth[.]org/wp-content/plugins/cryout-theme-settings/inc/3
- hxxp://taxgals[.]com/wp-content/themes/twentythirteen/inc/1
- hxxp://taxgals[.]com/wp-content/themes/twentythirteen/inc/2
- hxxp://taxgals[.]com/wp-content/themes/twentythirteen/inc/3
- soutmestiho[.]com
- enbetishect[.]ru
- gesinaleft[.]ru
- inghapwilhe[.]ru

 

 

 

다운로드 된 Doc 파일을 실행하면 콘텐츠 사용 버튼 클릭을 유도합니다.

 

 

[그림]  콘텐츠 사용 버튼 활성화 유도

 

 

 

콘텐츠 사용 버튼 클릭 시 아래와 같은 내부 스크립트가 활성화 됩니다. 

 

[그림] VB 스크립트

 

 

 

스크립트 내 base64 로 인코딩된 문자열을 디코딩하면 아래와 같습니다.

 

[그림] 스크립트 내 base64 디코드

 

 

 

악성 매크로가 실행되고, C2에서  Trojan 을 다운로드 받아 실행합니다.

 
 
[그림] Malware Download Packet
 
 
 
 
 

[Trojan] IcedID

 

행위: Trojan
SHA256 : a388a50081111d0252eb4c638421ad6b5d13dee6f2e374b0c3a40138227f9ac0
파일 크기: 58,880 bytes

 

 

 

악성코드 다운로드 이후 자동으로 실행되며, 사용자가 모르는 사이에 정보유출, 원격 코드 실행 등 다양한 행위가 이루어지게 됩니다.

 

 

 

[Sniprt APTX 탐지 결과]

 

[그림] APTX Detect

 

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 링크는 클릭하지 않는다

2) 메일 첨부파일에 존재하는 js, zip, exe, VBS, jse, JAR, 문서파일 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 백신 및 소프트웨어는 최신 상태로 유지한다.

 

 

 

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

https://www.malware-traffic-analysis.net/2018/08/16/index.html

첨부파일 첨부파일이 없습니다.
태그 malspam  zeus panda banker