Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Trickbot (Link → JS)
작성일 2017-09-14 조회 1319

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

유포 방식: E-Mail 내 Link 클릭

 

메일 내용

 - 제목: 온라인 청구서

 - 내용: 청구 금액은 £ 247.33 입니다. 링크의 청구서를 확인하여 주시길 바랍니다.

 

[그림 1] 청구서를 가장한 스팸메일 (myonlinesecurity)

 

링크 클릭 시 다운로드 화면이 보여지면서 아래 도메인을 통해 JavaScript를 다운로드 합니다. 아래의 링크는 HTTPS 통신을 합니다. 링크 클릭 시 Trickbot 다운로더(zip)가 다운로드됩니다. 

 

Link: hxxps://nemjoncomau-my[.]sharepoint[.]com/personal/jack_may_nemjon_com_au/_layouts/15/guestaccess.aspx?docid=0298ca8f1919748eb8cdba1a198dc85ae&authkey=AW_xv3CYvv3OMg0wmskh0Nw

 

 

[그림 2] JS Downloader C2

 

 

[첨부파일] TrickBot Downloader

행위: Downloader 
파일 이름: YourBTbill_13092017
확장자:  .zip → .js
파일 크기: 3,773 bytes 
C2 (1): hxxp://91[.]121[.]114[.]223/img/style.png
SHA256: bf56647327c98048a0cdba44f045870363d630d1ee2c4beab3d9b51838ccf937

 

 

JS를 클릭 시 내부에 저장되어 있는 C2로 접속하여 트로이목마를 다운로드 및 실행합니다. 아래와 같이 JS는 난독화가 되어있습니다.

 

[그림 3] JS 다운로더 난독화

 

스크립트 실행 시 C2에서 멀웨어를 다운로드합니다.

 

[그림 4] Trickbot Download

 

 

[Payload] Tribot Trojan

행위: Trojan
파일 이름: [8 bytes string].exe
파일 크기: 126,976bytes
SHA256: aa8ab51321fd141bad504fee708649e6fb950ccecc8305acfef34223e4ee587c

 

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

아래는 최근 매우 자주 보이는 도메인입니다. 단말 정보를 전송합니다.

 

[그림 5] 감염 단말 정보 전송

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

 

 

 

출처

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림1] https://myonlinesecurity.co.uk/new-bt-online-bill-malspam-delivers-dridex-banking-trojan/

첨부파일 첨부파일이 없습니다.
태그 MalSpam  Trickbot  Trojan  스팸메일