* 출처는 안랩입니다.
안랩이 국세청을 사칭한 악성 LNK 파일이 국내에 유포되고 있는 정황을 확인했다.
LNK 파일을 악용하는 방식은 과거부터 꾸준히 사용돼 왔으며, 최근에는 국내 사용자를 노린 사례가 다수 확인되고 있다. 이번에 확인된 악성 LNK 파일은 어떤 방식으로 유포되는지 자세히 알아보자.
해당 악성 LNK 파일은 이메일에 첨부된 URL을 통해 유포되는 것으로 추정되며, 자사 인프라를 통해 확인된 URL은 아래와 같다.
다운로드 URL
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
이 URL을 실행하면 ‘종합소득세 신고관련 해명자료 제출 안내.zip’라는 이름의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일에 악성 LNK 파일과 정상 한글 문서 2건이 존재했다. 하지만 현재 해당 압축 파일에서는 정상 한글 문서 3건만 확인된다. 이 점으로 미루어 보아, 공격자는 단시간 동안 악성 파일을 유포해 분석 및 추적을 어렵게 한 것으로 보인다.
[그림 1] 악성 LNK 파일을 포함하는 압축 파일
압축 파일 내 ‘국세청 종합소득세 해명자료 제출 안내.lnk’라는 이름의 악성 파일은 약 300MB 크기의 더미 데이터가 붙어있는 형태로, 악성 파워셸(PowerShell) 명령어를 포함한다.
[그림 2] LNK 파일 내부의 파워셸 명령어
파워셸 명령어는 LNK 파일 내부에 존재하는 정상 한글 문서를 ‘국세청 종합소득세 해명자료 제출 안내.hwp’ 파일로 생성한 후 실행한다. 생성된 정상 한글 문서는 [그림 3]과 같이 국세청을 사칭한 세금 관련 안내문으로 위장했다. 따라서 사용자는 악성 LNK 파일을 실행한 후 정상 한글 문서가 실행된 것으로 착각할 수 있다.
[그림 3] 정상 한글 문서
이후 LNK 파일 내부의 압축 파일을 ‘%Public%\02641.zip’ 경로에 생성한다. 그런 다음, 생성된 압축 파일의 압축을 해제하고 ‘start.vbs' 파일을 실행한다. 여기서 LNK 파일과 압축 파일은 삭제된다. 압축을 해제한 후에는 [그림 4]의 파일들이 생성되며, 각 파일의 기능은 [표 1] 과 같다.
[그림 4] 압축 해제 후 생성되는 파일
| 파일명 |
기능 |
| start.vbs |
74116308.bat 실행 |
| 74116308.bat |
RunKey 등록 (start.vbs) |
| 02619992.txt |
20191362.bat 을 통해 ZIP 파일 다운로드 |
| 86856980.txt |
사용자 정보 수집 |
| 20191362.bat |
파일 다운로드 |
| 53844252.bat |
사용자 정보 업로드 |
| unzip.exe |
ZIP 파일 압축 해제 |
[표 1] 스크립트 기능
* 전체내용은 아래에서 확인하세요
![[주간 랭킹] 5위](https://img.danawa.com/images/attachFiles/6/992/5991308_18.jpg?fitting=Large|320:240&crop=320:240;*,*)
![재미로 보는 주간 랭킹[4위]!](https://img.danawa.com/images/attachFiles/6/992/5991614_18.png?fitting=Large|320:240&crop=320:240;*,*)
비
![[에이원아이엔티] AONE STORM 700W 80PLUS스탠다드 파워서플라이, 퀘이사존 리뷰 등록 및 체험단, 0원 특가 진행안내](https://img.danawa.com/images/attachFiles/6/992/5991678_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
