현재 칵봇(Qakbot) 악성코드가 국내 사용자를 대상으로 유포 중 (이메일 통해)
#Qakbot: QBot 또는 Pinkslipbot이라고 알려진 칵봇. 2007년부터 활동해왔으며, 은행 트로이목마로 알려져있음. 금융 데이터를 훔치고, 페이로드 타겟팅 및 다운로드를 위해 C2서버를 사용하는 로더. (출처)
지난 9월 출현했을 때와 같이 ISO 파일을 이용한 점과 전체적인 동작과정은 동일.
그러나 이번에 행위 탐지를 우회하기 위한 과정이 추가되었다.
메일은 기존 정상 메일을 가로채서 악성 파일을 첨부하여 회신한 형태.
- 이전 메일 내용이 포함되어 있어, 정상적인 회신 메일로 착각할 수 있음.
- 최근 이메일 하이재킹 방식 증가하는 추세
[악성 파일]
- 첨부된 파일은 HTML로, 스크립트 내에 존재하는 압축파일을 생성
- 압축 파일에 패스워드 설정, 이는 파일에 대한 탐지를 우회하기 위한 목적으로 확인.
- 패스워드는 HTML 페이지 내에서 확인가능
- 압축파일 내에는 ISO 파일 존재, 그 내부에는 LNK 파일과 CMD파일, 악성 DLL파일 존재
- LNK 파일은 함께 생성된 CMD 파일을 실행
- CMD 파일은 시스템 폴더에 존재하는 정상 프로그램 regsvr32.exe를 특정 경로에 복사한 후 악성 DLL로드
→ 행위 탐지 우회하기 위한 목적으로 확인
- 로드된 DLL은 뱅킹형 악성코드 Qakbot.
- 정상 프로세스 wermgr.exe 실행 후 악성 데이터 인젝션
- 인젝션된 프로세스는 다수의 C2를 디코딩하여 연결 시도, 연결될 경우 악성 모듈 다운, 금융 정보 탈취 등의 악성행위 수행.
최근 ISO 파일 이용한 악성코드 유포, 이메일 하이재킹 방식의 피싱이 증가하고 있으니 알 수 없는 발신자의 경우 꼭 주의할 것.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 우리은행 앱 접속 장애 발생이슈 (0) | 2022.10.26 |
|---|---|
| [보안이슈] 일본 국립대 교수, '호흡을 이용한 신원인증' 논문 발표 (0) | 2022.10.25 |
| [보안이슈] 마이크로소프트, 잘못 구성된 Azure 스토리지 버킷에서 고객정보 2.4TB 유출. (0) | 2022.10.21 |
| [보안이슈] "내 PC 돌보미"로 위장한 멀웨어 유포 중. (0) | 2022.10.20 |
| [보안이슈] 인도 에너지 회사 Tata Power, 사이버 공격으로 타격 입어 (0) | 2022.10.19 |