|
[Malspam] Win32/Trojan.Dridex (Feat. VBS) 침해사고분석팀 2018.01.26 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 내 첨부파일
메일 내용 - 제목: 계정 명세서 - 내용: 동봉된 송장확인 후 빠른 시일 내에 지불액을 송금하십시오
[그림] 계정 명세서을 가장한 스팸메일 (MyOnlineSecurity)
스팸메일은 계정 명세서를 가장해 사용자에게 첨부파일 다운로드를 유도 합니다.
[그림] 압축파일에 포함된 스크립트
첨부된 압축파일에는 위 그림과 같은 스크립트가 포함되어 있습니다.
[첨부파일] Malware Downloader 행위: Downloader
파일 이름: 750524566.vbs
C2 (1) : hxxp://fbl[.]com[.]sg/JHG76w23?
C2 (2) : hxxp://signlight[.]com[.]au/JHG76w23? C2 (3) : hxxp://pesonamas[.]co[.]id/JHG76w23? SHA256: da8e5e945f78fbc64adc17ca96ef74d7808950f36d5ea82d8f7273d8a1939337
스크립트 실행 시 C2에 접속해 악성파일 다운로드를 진행합니다.
[그림] Download C2 Array
이후 악성 서버에서 받은 "JHG76w23" 파일을 "IjwglD.exe"로 변경해 다운로드합니다.
[그림] Download Packet
[그림] Download Malware
[Payload] Dridex Banker 행위: Banker
파일 이름: JHG76w23 -> IjwglD.exe
파일 크기: 143,360 bytes
SHA256: bad8a41d33fe0e4cce27f41005e498c0ac26eef9f59099ad2d538bc429e4d289
악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다. 3) 중요 자료는 백업을 하여 자료를 보호한다.
[그림] APTX VBS Detect
[그림] APTX Detect
Source [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ https://myonlinesecurity.co.uk/account-statement-pineislandweb-com-malspam-delivers-dridex-banking-trojan/ |
