2024년 12월, AhnLab Security intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다.

해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 

과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.

바이너리 구조 : CAB 헤더(‘MSCF’) + Command lIne + PE(exe)
확장자 : *.cmd

해외에서는 ‘Threat Actor Turns a CAB File Into the Loader to Deploy ModiLoader‘라는 제목으로 소개된 바 있다.

[그림 1] ModiLoader(DBatLoader)가 유포된 메일

해당 공격자는 메일 보안 제품을 우회하기 위해 첨부 파일의 헤더를 변경하였다. 확인된 압축 파일은 매직 헤더가 ‘MSCF’인 압축 파일(CAB)이지만, 그 앞에 ‘PNG'(이미지 파일 헤더)를 추가하여 파일 필터링을 우회하거나 압축 내 파일을 자동으로 검사하는 기능 등을 우회하기 위한 것으로 추정된다.

[그림 2] 메일에 첨부된 압축 파일의 헤더

* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/85732/