악성 파일 정보

[악성코드 분석]송장 관련 피싱 메일로 유포되는 스파이웨어 주의 AgentTesla

송장 관련 피싱 메일로 유포되는 스파이웨어 주의

 


1. 개요 

최근 송장 관련 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부 파일에는 악성 매크로가 포함된 doc 문서 파일이 존재하는데 문서 열람 후 매크로를 실행하면 C&C 서버에서 악성 파일을 다운받는다. 다운로드된 악성 파일은 ‘에이전트 테슬라(Agent Tesla)’ 변종으로 알려지며 스파이웨어 기능이 있어 키보드 입력, 화면 캡처, 계정 정보 저장 등 사용자의 정보가 탈취된다. 원래 ‘에이전트 테슬라(Agent Tesla)’는 합법적으로 판매되는 Keystroke Logger 프로그램이지만, 공격자에 의해 악용되어 피싱 메일로 전파되며 감염된 PC는 사용자의 동의 없이 사용자 정보가 탈취될 위험이 있다.

 

 

2. 분석 정보

2-1. 파일 정보

 

 



2-2. 유포 경로

해당 악성코드는 송장 관련 피싱 메일의 첨부파일(INVOICE00805019.doc)을 통해 유포된다. 피싱 메일의 내용은 송장의 계좌 번호가 잘못되어 첨부파일의 문서를 다운받고 매크로를 활성화하도록 유도하고 있다.
 

 

[그림 1] 송장 관련 피싱 메일



 

 

2-3. 실행 과정

피싱 메일에 첨부된 ‘INVOICE00805019.doc’ 문서를 열람할 경우 아래와 같이 매크로 활성화에 대한 보안 경고 알림 창이 나타난다.

 

 

[그림 2] 악성 매크로가 포함된 doc 문서파일 

 

 

 


만약 사용자가 송장 문서로 착각해 ‘콘텐츠 사용’ 버튼을 클릭하면 doc 문서 파일에 포함된 악성 매크로가 실행된다. 실행된 악성 매크로는 파워 쉘을 이용해 C&C 서버에서 악성 파일을 다운받고 실행한다. C&C 서버에서 다운로드된 악성 파일은 ‘에이전트 테슬라’ 이며 키보드, 화면, 클립보드 내용 저장 등 악성 동작을 수행하며 탈취한 내용을 C&C 서버로 전송한다.

 

 

[그림 3] 실행 흐름



 

 

[그림 4] 탈취된 정보 전송 패킷 



 

3. 악성 동작

3-1. C&C 서버 연결 및 악성코드 다운로드

doc 문서 파일의 악성 매크로에는 난독화된 VBA 스크립트가 존재하는데, 해당 스크립트는 난독화 되어진 파워 쉘 스크립트를 실행한다. 
 

 

[그림 5] 난독화된 파워쉘 스크립트



 

 

난독화된 스크립트는 복호화 과정을 거쳐 C&C 서버(http://thXXXXXXXe.com)에서 악성 파일을 “%APPDATA%” 경로에 ‘임의의 파일명’ 으로 다운받고 실행한다.
 

 

[그림 6] 복호화된 스크립트 일부


 

 

[그림 7] 악성파일 다운로드



 

 

3-2. 자가 복제 및 자동 실행 등록

실행된 악성코드는 “%APPDATA%” 경로에 ‘midwestvet.exe’ 파일명으로 자가 복제를 하고, 시스템 재부팅시 자동 실행이 되도록 시작 프로그램에 링크 파일을 추가한다.

 

 

[그림 8] 시작 프로그램의 악성 링크 파일



 

 


3-3. 키로깅

 해당 악성코드의 주요 기능은 사용자의 키보드 입력을 계속 감시하며 사용자가 키보드나 클립보드를 사용할 경우, html 형식으로 내용을 기록한 뒤 수집한 내용을 사용자 PC 정보와 함께 공격자에게 전송한다. 

 

 

[그림 9] 클립보드 내용 탈취



 

 


3-4. 화면 캡처

그리고 주기적으로 사용자 PC의 화면을 캡처한 뒤 시스템 정보와 스크린 샷 파일을 공격자에게 전송한다. 전송이 완료되면 생성한 스크린 샷 파일은 삭제된다. 

 

 

[그림 10] 화면 캡처 파일 생성




 

[그림 11] 화면 캡처 탈취 코드

 

 

 

 


3-5. 응용 프로그램 계정 정보 탈취

 또한 아래 [표 1]에 해당하는 응용 프로그램의 사용자 로그인 계정 정보와 캐시 내역을 탈취한다.

 

 

[표 1] 대상 응용 프로그램 목록



 

 


4. 결론

이번 보고서에서 알아본 ‘에이전트 테슬라’는 합법적인 프로그램이지만 공격자에 의해 악용되어 ‘에이전트 테슬라’ 변종을 피싱 메일로 유포하고 있으며 감염된 PC의 사용자 정보를 무단으로 탈취하고 있어 주의가 필요하다. 이를 방지하기 위해선 불분명한 출처의 첨부파일 열람을 유의하고 백신 제품을 설치해 예방하는 것이 좋다.
위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
 

 

[그림 12] TACHYON Internet Security 5.0 진단 및 치료 화면


댓글

댓글쓰기