Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향악성 Excel XLL add-ins, RedLine 암호 유출 악성 프로그램 푸시
작성일 2021-12-06 조회 52

 

 

사이버 범죄자들은 RedLine 암호 및 정보 유출 악성코드를 다운로드하여 설치하는 Excel XLL 파일을 배포하기 위해 웹사이트 문의 양식과 토론 포럼을 스팸 발송하고 있다.


RedLine은 웹브라우저에 저장된 쿠키, 사용자 이름과 비밀번호, 신용카드는 물론 FTP 자격 증명과 파일을 감염된 장치에서 훔치는 정보 유출 트로이 목마입다.


RedLine은 데이터를 훔치는 것 외에도 명령을 실행하고 추가 악성 프로그램을 다운로드하여 실행하며 활성 Windows 화면의 스크린샷을 생성할 수 있다.


이 모든 데이터는 수집되어 다시 공격자에게 보내져 범죄 시장에서 팔리거나 다른 악의적이고 사기적인 활동에 사용된다.


지난 2주 동안 연락처 양식은 가짜 광고 요청, 명절 선물 안내, 웹사이트 홍보 등 다양한 피싱 유인물로 여러 번 스팸 발송됐다.


이 유인물들을 조사한 후, 이것이 공개 포럼이나 기사 댓글 시스템을 이용하여 많은 웹사이트를 대상으로 한 광범위한 캠페인임을 발견했다.


일부 피싱 사기에서는 위협 행위자는 악성코드를 설치하는 데 사용되는 악성 Excel XLL 파일을 호스팅하기 위해 가짜 웹사이트를 만들었다.


예를 들어, 한 캠페인은 다음과 같은 스팸 메시지와 합법적인 Plutio 사이트를 모방하는 가짜 웹사이트를 사용했다.


"비즈니스를 운영하는 데 필요한 모든 것. 프로젝트를 관리하고, 멋진 제안서를 작성하고 더 빨리 수익을 올리세요. 블랙 프라이데이! 모든 요금제는 무료이며 신용 카드가 필요하지 않습니다."

 



[그림 1. 악성 XLL 파일을 푸시하기 위해 개발된 가짜 Plutio 웹사이트]

 


다른 스팸 메시지는 아래와 같이 결제 보고서, 광고 요청 또는 Google Drive에 호스팅된 악성 XLL 파일에 대한 링크가 있는 선물 안내를 가장한다.

 



[그림 2. Google Drive에 호스팅된 악성 XLL 파일]

 


특히 관심을 끄는 것은 웹 사이트 소유자를 대상으로 광고를 의뢰하고 제안 조건을 검토하도록 요청하는 미끼로, 이는 악성코드를 설치 하는 악성 'terms.xll' 파일로 이어진다.


"사이트의 광고 공간을 $500부터 판매하십시오. 아래 링크에서 약관을 읽을 수 있습니다. https://drive.google[.]com/file/d/xxx/view?usp=sharing"


이번 주 수집된 다른 미끼는 다음과 같다.


"저희 앱을 사용해 주셔서 감사합니다. 결제가 승인되었습니다. https://xxx[.]link/report.xll 아래 링크에서 지불 보고서를 볼 수 있습니다."


"구글이 2021년 가장 인기 있는 선물 100가지를 공개했다. 나는 $10.000를 받았다. 너도 원해? https://drive.google[.]com/file/d/xxx/view?usp=sharing 약관을 읽고 동의합니다."


이러한 스팸 캠페인은 피해자의 Windows 장치에 RedLine 악성코드를 다운로드하여 설치하는 악성 Excel XLL 파일을 푸시하도록 설계되었다.


XLL 파일은 개발자가 데이터를 읽고 쓰거나, 다른 소스에서 데이터를 가져오거나, 다양한 작업을 수행하기 위한 사용자 정의 기능을 만들어 Excel의 기능을 확장할 수 있는 추가 기능이다.


XLL 파일은 단순히 추가 기능이 열릴 때 Microsoft Excel에서 실행되는 'xlAutoOpen' 기능을 포함하는 DLL 파일이다.

 



[그림 3. Excel에서 악성 추가 기능 열기]

 

 

수행된 테스트에서는 XLL 파일을 올바르게 로드하지 않지만,  Microsoft Excel의 다른 버전에서 작동할 수 있다


그러나 regsvr32.exe 명령 또는 'rundll32 name.xll, xlAutoOpen' 명령으로 DLL을 수동으로 실행하면 wget.exe 프로그램을 %UserProfile% 폴더에 추출하고 이를 사용하여 원격 사이트에서 RedLine 바이너리를 다운로드한다.

 



[그림 4. wget를 사용하여 RedLine 악성코드를 다운로드하는 XLL DLL]

 


이 악성 바이너리는 %UserProfile%JavaBridge32.exe로 저장되어 실행된다.


또한 레지스트리 자동 실행 항목이 생성되어 피해자가 Windows에 로그인할 때마다 RedLine information-stealer를 자동으로 실행할 수 있다. 

 



[그림 5. RedLine 자동 실행이 Windows 레지스트리에 추가됨]

 


악성코드가 실행되면 Chrome, Edge, Firefox, Brave 및 Opera 브라우저에 저장된 자격 증명 및 신용 카드를 포함하여 도용할 귀중한 데이터를 검색한다.


이 캠페인의 피해자가 되었다면 저장된 비밀번호가 손상되었다고 가정하고 즉시 변경해야 히먀, 브라우저에 신용 카드가 저장되어 있는 경우 신용 카드 회사에 연락하여 사고에 대해 알려야 한다.


XLL 파일은 실행 파일이므로 위협 행위자는 이를 사용하여 장치에서 다양한 악의적인 행동을 수행할 수 있으므로 신뢰할 수 있는 출처에서 나온 것이 아니면 절대 열어서는 안 된다.


이러한 파일은 일반적으로 첨부 파일로 전송되지 않고 다른 프로그램이나 Windows 관리자를 통해 설치된다.


따라서 이러한 유형의 파일을 배포하는 이메일이나 기타 메시지를 받은 경우 해당 메시지를 삭제하고 스팸으로 신고하기만 하면 된다.


XLL files: 
terms.xll, report.xll, terms_of_use.xll
f6c06615e35798274dfa9c4b28aaa6d94220804e766e9a70c4f0dab4779ee1db


RedLine:
JavaBridge32.exe: 626db53138176b8a371878ebaa2dbbd724be9a74f9f82ef9ebb7b7bfc0c6b2e9

 

 


출처
https://www.bleepingcomputer.com/news/security/malicious-excel-xll-add-ins-push-redline-password-stealing-malware/

첨부파일 첨부파일이 없습니다.
태그 RedLine  Excel XLL