AhnLab SEcurity intelligence Center(ASEC) 에서는 법적 책임이나 저작권 위반 사실이 기록된 자료를 위장한 Infostealer 악성코드가 국내에 지속적으로 유포되고 있는 정황을 확인하였다. 주로 이메일 내 첨부 링크를 통해 유포되며, 메일 본문에는 저작권 위반 행위에 대한 증거 자료를 다운로드 받도록 유도 했다.

• 이메일 내 첨부 링크 (1)
  hxxps://tr[.]ee/3FKnsw
• 이메일 내 첨부 링크 (2)
  hxxps://laurayoung2169944-dot-yamm-track.appspot[.]com/2gwdQgyj0E2vzqvbGg2Q8Vfawz52qe38tVH-Y92ZoVgBqJibClgEzOCbYyqGbTJh0dKhw8GQbFc_Fesz7f9zrLq-2V-eP1KMh9_AEWIYxXvJBaYeQMZELdDvNm3D-jXjmCZhpz_vekp6k6wRmVhQAy8E8tvBKAmido8oujb3kXgIEfYHLKv2LcSBPU3qzwd3tG0yoQroSnpBWvxoJ0Cigir-WRpFZtmNqF9GzWiYvcbQYCA_FW112o2ZfGIvFBZS2YBmvm5iJcYtbCXPbhF_PffE2uiWA

[그림 1] 유포 메일 (1)

[그림 2] 유포 메일 (2)

유포 중인 악성코드는 실행 방식에 따라 크게 두 가지 유형으로 나뉘며, 모두 압축 파일 형태로 유포되는 특징이 있다.

유형 1 : DLL Side-Loading

첫번째 유형은 DLL Side-Loading 기법을 이용한다. DLL Side-Loading 기법은 정상 응용 프로그램과 해당 프로그램이 참조하는 악성 DLL 을 동일한 폴더에 배치하여, 정상 응용 프로그램이 실행될때 악성 DLL이 함께 실행되도록 하는 기법이다. 유포 중인 파일명의 일부는 아래와 같다.

• 유포 파일명
  확실한 증거는 범죄 행위를 확인하는 데 도움이 됩니다.zip
  소유권 보호를 뒷받침하는 증거.zip
  조사를 통해 검증된 증거.zip
  지적재산권 침해에 대한 문서 및 증거.zip
  지적 재산권 침해를 증명하는 서류.zip
  수사 파일의 증거.zip
  지식재삭권 침해 수사를 위한 증거 자료.zip
  위반 사실을 증명하는 서류.zip
  위반사항 조사 증거.zip
  저작권 침해 증거 및 자료 정보.zip
  조사에서 기록된 증거.zip
  경찰 수사관과 검찰로부터 수집된 결과.zip
  검찰 수사 결론.zip

[그림 3] 유포 파일 (1)

[그림 4] 유포 파일 (2)

[그림 5] 유포 파일 (3)

압축 파일 내부에는 정상 EXE (PDF Reader 프로그램) 와 악성 DLL 이 포함되어 있다. 사용자가 EXE 파일을 실행할 경우 악성 DLL 이 로드되며, Infostealer 악성코드인 Rhadamanthys 가 동작한다. Rhadamanthys 는 윈도우 시스템 정상 프로그램에 인젝션을 수행하며 최종적으로 이메일, FTP, 온라인 뱅킹 서비스 등과 관련된 정보를 탈취하여 공격자 서버로 전송한다.

• 인젝션 대상 프로세스
  %Systemroot%\system32\openwith.exe
  %Systemroot%\system32\dialer.exe
  %Systemroot%\system32\dllhost.exe
  %Systemroot%\system32\rundll32.exe
   

유형 2 : 이중 확장자