영업팀에 문의
  /  사이버 보안​뉴스  / SmokeLoader 맬웨어로 사용자를 감염시키는 새로운 가짜 이력서 이메일 캠페인
SmokeLoader 맬웨어로 사용자를 감염시키는 새로운 가짜 이력서 이메일 캠페인

SmokeLoader 맬웨어로 사용자를 감염시키는 새로운 가짜 이력서 이메일 캠페인

Written by 프라실 문
프라실 문
사이버 보안, ​뉴스
8
공유

이메일 첨부 파일은 공격자가 악성코드를 유포하는 데 가장 선호하는 매체입니다. 스팸 이메일 캠페인을 실행하여 특정 사용자 또는 여러 사용자를 동시에 표적으로 삼을 수 있습니다.

의도된 악성코드 공격을 성공적으로 수행하려면 악성 이메일 수신자가 해당 이메일을 신뢰하고 공격자가 원하는 대로 행동해야 합니다. 이를 위해 악성코드 개발자는 악성 이메일이 최대한 합법적인 것처럼 보이도록 끊임없이 새로운 전략을 사용합니다.

Quick Heal Security Labs는 최근 SmokeLoader 맬웨어를 유포하는 새로운 악성 스팸 캠페인을 발견했습니다. SmokeLoader는 트로이 목마 다운로더 맬웨어로, 감염된 컴퓨터에 다른 맬웨어를 다운로드하고 설치하는 것으로 잘 알려져 있습니다.

감염 루틴

이 캠페인의 공격은 "웹사이트 구직 신청"으로 위장한 스팸 이메일로 시작됩니다. 이 이메일에는 비밀번호로 보호된 zip 파일이 포함되어 있습니다. zip 파일을 여는 비밀번호는 스팸 이메일 본문에 포함되어 있습니다. 이러한 속임수는 공격자에게 다음과 같은 이점을 제공합니다.

  • 이메일은 타겟 사용자에게 더 합법적으로 보입니다.
  • 이메일 보호 보안 모듈은 암호로 보호된 zip 파일 내부의 파일을 검사하기 어렵습니다.

아래 그림 1는 이 캠페인에 사용된 이메일 샘플을 보여줍니다.

그림 1. 악성 첨부 파일이 포함된 이메일

그림 1에서 볼 수 있듯이, 이메일은 이력서를 압축 파일로 담은 구직 지원 이메일인 것처럼 위장하고 있습니다. 이 압축 파일은 비밀번호로 보호되어 있습니다. 이 압축 파일을 다운로드하면 이메일 본문에 이미 제공된 비밀번호(12345)를 입력하라는 메시지가 표시됩니다. 압축이 성공적으로 해제되면 "resume.doc" 파일이 생성됩니다. 이 문서는 악성 매크로가 포함된 Word 문서입니다. 사용자가 이 문서 파일을 실행하여 내용을 보려고 하면, 콘텐츠 사용 그림 2에 표시된 버튼.

그림 2. 매크로 활성화를 요청하는 Doc 파일

사용자가 "를 클릭하여 매크로를 활성화하면콘텐츠 활성화”백그라운드에서 악성 매크로가 실행되어 원격으로 호스팅된 파일을 요청하는 PowerShell을 추가로 실행하고, 이 파일은 사용자 시스템에 악성 페이로드를 다운로드하고 실행합니다.

아래 그림 3은 doc 파일에 포함된 악성 매크로 코드를 보여줍니다.

그림 3. doc 파일 내부의 악성 매크로 코드

위에 언급된 코드는 그림 4에 표시된 것처럼 악성 매개변수를 사용하여 PowerShell을 시작합니다.

그림 4. 악성 매개변수를 사용하여 실행되는 PowerShell

자세히 살펴보면, 악성 파일은 공격자 서버에 poop.jpg 파일로 호스팅되어 있는데, 실제로는 SmokeLoader 악성코드 실행 파일입니다. 이 파일은 다음과 같은 이름으로 생성됩니다. DKSPKD.exe %Temp% 위치에서 시작되어 악성 활동을 수행합니다.

이 사기 캠페인을 분석하는 동안 관찰된 중요한 활동 중 일부는 다음과 같습니다.

  • 이 맬웨어 시나리오는 Microsoft Windows 8 이상 플랫폼에서만 성공적으로 생성됩니다.
  • 실행 중에 맬웨어는 맬웨어 분석 도구 및 디버거와 관련된 모든 프로세스를 종료합니다.
  • SmokeLoader가 성공적으로 실행되면 감염된 시스템에 다른 맬웨어 구성 요소를 다운로드할 수 있습니다.

Seqrite 감지

Seqrite Browser Protection은 페이로드를 다운로드하는 데 사용되는 악성 URL을 성공적으로 차단합니다.

그림 5: Seqrite 브라우징 보호 경고

Seqrite Virus Protection은 시스템에 페이로드를 전달하는 악성 문서 파일을 성공적으로 탐지하고 차단합니다.

그림 6. doc 파일에 대한 Seqrite 바이러스 보호 경고

Seqrite Virus Protection은 또한 악성 SmokeLoader 페이로드를 탐지하고 차단합니다.

그림 7. 악성 페이로드에 대한 Seqrite 바이러스 보호 경고

이러한 맬웨어 공격으로부터 안전을 유지하기 위한 모범 사례

  • 원치 않거나 예상치 못한 이메일 출처에서 받은 첨부 파일을 다운로드하거나 링크를 클릭하지 마세요.
  • 콘텐츠를 보려면 '매크로'를 활성화하라는 내용의 이메일에 주의하세요.
  • 유지하여 안티 바이러스 업데이트를 하고 최신 버전을 사용하고 있는지 확인하세요.
  • 중요한 데이터는 항상 안전하게 백업해 두세요.
  • 운영 체제와 Adobe, Java, 인터넷 브라우저 등 프로그램에 권장하는 모든 업데이트를 적용하세요.
  • 컴퓨터의 자동 업데이트가 활성화되어 있는지 확인하세요.

주제 전문가:

Gulamgaus Shaikh, 프라실 문 | Quick Heal 보안 연구소

프라실 문

Prashil Moon 소개

프라실은 Quick Heal Security Labs의 수석 보안 연구원입니다. 그는 끊임없이 최신 악성코드 동향을 추적하고, 악성코드를 분석하는 데 열정적입니다.

Prashil Moon의 기사 »

관련 게시물