두근두근 오퍼 레터, 악성코드일 수 있다

두근두근 오퍼 레터, 악성코드일 수 있다 AhnLab ASEC 분석팀 l 2021-08-04     최근 공격자들은 악성코드 유포 시, 공격 성공률을 높이기 위해 사용자들이 관심 가질만한 내용으로 위장한 스팸메일을 활용하곤 한다. 지난주 소개한 ‘BOA 입금 확인 요청’ 자동 메일로 위장한 악성코드 유포 역시 위 예시에 해당한다.   이번에는 기업의 오퍼 레터(Offer letter) 내용으로 위장한 악성코드 유포 사례가 발견되어 이를 소개하고자 한다.     ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러(Infostealer) 유형의 KPOT 악성코드가 유포되는 정황을 확인했다. 이번 공격은 사용자를 속이기 위해 기업의 오퍼 레터로 위장한 스팸메일에 특정 암호가 걸린 워드파일을 이용한 것이 특징이다.     스팸메일의 정확한 유입 경로는 파악되지 않았으나, 오퍼 레터의 내용을 담은 것과 수신인을 구분해 부여한듯한 비밀번호를 메일 본문에 기재한 것으로 보아 사용자를 속이기 위해 더욱 교묘한 방법을 사용한 것으로 추정된다.   -발신인: Team Lead -메일 제목: Our Team Job Invitation -메일 본문: Hello, our invitation is attached to this message. Your personal password: TBBEx○○○○○○○○○○UP3Vm   메일 본문에 기재된 비밀번호를 입력하면 압축파일이 해제된다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용해 타깃 주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기 어렵다.     [그림 3]과 같이 settings.xml.rels 파일 내에 악성 매크로와 페이로드가 포함된 원격 템플릿을 로드하는 URL이 있다. 이에 따라, 사용자가 워드파일을 실행시키기만 하면 외부 악성 URL에 접속을 시도할 수 있다.       DOTM 파일은 난독화 되어있는 악성 매크로 코드를 포함하고 있다. 매크로가 실행되면 윈도우 정상 프로세스인 ‘certutil.exe’에 의해 KPOT 악성코드가 다운로드된다. 이후 dll 형태의 악성코드를 ‘rundll32.exe’로 실행한다.   certutil.exe는 윈도우에서 인증서를 관리할 때 사용하는 기본 프로그램이다. 다만, ‘certutil.exe -urlcache -split -f [URL] [output.file]’과 같은 방식으로 원격 URL에서 인증서 혹은 다른 파일을 다운로드하여 로컬파일로 저장할 수 있어 악성코드 유포에 사용되기도 한다.   난독화 되어있는 매크로 코드를 디버깅하면 외부 URL에서 dll 파일을 %TMP% 경로로 다운로드한다. 여기서 내려 받아지는 파일이 인포스틸러 유형의 KPOT 악성코드이다.   KPOT 악성코드는 인터넷 브라우저, FTP 클라이언트, VPN 클라이언트, 메신저, 암호화폐 지갑에서 데이터를 훔치는 악성코드이다. 안랩의 분석 인프라 ‘RAPIT’ 확인 결과, WS_FTP, FileZilla, WinSCP의 설정파일과 아웃룩(Outlook) 애플리케이션 계정 정보에 대한 접근 시도가 확인됐다. 그리고, 코드 상으로도 사용자의 PC 정보 뿐만 아니라 다양한 애플리케이션의 정보를 탈취하는 것으로 보인다.   최근, 스팸메일을 통해 유입되는 악성코드의 비중이 높아지고 있어, 사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제해야 한다. 신뢰할 만한 사람으로부터 메일을 받더라도 발신인의 메일 주소를 한번 더 확인해야 하며, 기본적으로 첨부파일을 실행을 지양하는 방향으로 주의를 기울이는 습관이 필요하다.   또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 항상 최신으로 업데이트할 것을 권장한다.   보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. ▶ASEC 블로그 바로가기