|
[MalSpam] Win32/Trojan.Zeus (MS Excel) 침해사고분석팀 2018.01.17 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 내 첨부파일
메일 내용 - 제목: gennaio pagamento (january payment) - 내용: 추가 작업을 진행하면서 인보이스를 다시 전달합니다.
[그림] 1월 지금 명세서을 가장한 스팸메일 (MyOnlineSecurity)
스팸메일은 1월 지급 명세서를 가장해 사용자에게 첨부파일 다운로드를 유도 합니다.
[그림] 매크로 사용을 유도하는 Excel 문서
첨부된 문서에는 위 그림과 같이 이탈리아어로 "콘텐츠 사용"을 허용하라는 안내문이 있습니다.
[첨부파일] Malware Downloader 행위: Downloader
파일 이름: gennaio_submit.xls
C2 (1) : hxxps://flavosoftorrent[.]ml/ffplug
SHA256: 6dbc95b9f11dd56f557f7912fe89c71c03b2f22d52b7884a6a290f898f9b8cba
"콘텐츠 사용" 허용 시 문서 내 매크로에 포함된 악성 스크립트가 동작합니다.
[그림] Trick bot Download Script
이후 악성 서버에서 받은 "ffplug" 파일을 "%tmep%.exe"로 변경해 다운로드합니다.
[그림] Download Packet
[그림] Download Malware
[Payload] Zeus Banker 행위: Banker
파일 이름: ffplug -> %temp%.exe
파일 크기: 312,832 bytes
SHA256: 3b2cc469e27aca58abc43a3eaa94dab4bee615c29f7995814e0b0a3d238f5408
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다. 3) 중요 자료는 백업을 하여 자료를 보호한다.
[그림] APTX Detect
Source [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ https://myonlinesecurity.co.uk/fake-invoice-via-italian-language-malspam-gennaio-pagamento-january-payment-delivers-malware-via-malicious-macros/ |
