최신 보안 동향

사용자 계정 컨트롤을 우회하는 Casbaneiro 악성코드 변종

TACHYON & ISARC 2023. 7. 31. 10:17

최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 Casbaneiro 악성코드 변종이 발견됐다.

 

보안 업체 Sygnia "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다.

 

이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동작하고 UAC를 우회하게 된다.

 

[Casbaneiro 변종의 공격 체인]

사진 출처 : Sygnia

 

출처

[1] Sygnia (2023.07.25) – BREAKING DOWN THE CASBANEIRO INFECTION CHAIN – PART II

https://blog.sygnia.co/breaking-down-casbaneiro-infection-chain-part2