Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Dridex (Link → JS)
작성일 2017-09-19 조회 1460

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

유포 방식: E-Mail 내 Link 클릭

 

메일 내용

 - 제목: 온라인 청구서

 - 내용: 해당 결제정보에 대한 오류 정정 없을 시 등록하신 신용카드에서 자동 인출 됩니다.

 

[그림] 청구서를 가장한 스팸메일 (myonlinesecurity)

 

 

링크 클릭 시 다운로드 화면이 보여지면서 아래 도메인을 통해 JavaScript를 다운로드 합니다. 아래의 링크는 HTTPS 통신을 합니다. 링크 클릭 시 Dridex 다운로더(js)가 다운로드됩니다. 

 

Link: hxxps://lakesambel-my[.]sharepoint.com/personal/contact_caravanparkbeechworth_com_au/_layouts/15/guestaccess.aspx?docid=03b4b6316d9ca4fa48971a9101a38b364&authkey=Afo8hRz5LV65-XWim02sZtg

 

 

[그림] JS Downloader C2

 

 

[첨부파일] Dridex Trojan Downloader

행위: Trojan Downloader 
파일 이름: Xero Invoice.js
파일 크기: 4,701 bytes 
C2 (1): hxxps://stakks-my[.]sharepoint[.]com/personal/accounts_stakks_com_au/_layouts/15/guestaccess.aspx?docid=0426cc21c900f4425bfd868cf0a9bc836&authkey=AdVBGQCO-SGtytiexhgUfw8
SHA256: 1dd6592efe42341716ab836efd19ca916c774024243aebecd2ab30933c0c89e2

 

 

JS를 클릭 시 내부에 저장되어 있는 C2로 접속하여 트로이목마를 다운로드 및 실행합니다. 아래와 같이 JS는 난독화가 되어있습니다.

 

해당 난독화는 실제 필요한 데이터는 ASCII 로 표시되고 나머지 부분을 임의의 알파벳으로 채우는 방식입니다. 아래 표시된 스크립트는 C2 및 다운로드 받을 파일의 경로와 이름이 저장되어 있습니다.

 

[그림] JS 다운로더 난독화

 

[그림] JS 다운로더 평문화

 

 

스크립트 실행 시 C2에서 멀웨어를 다운로드합니다.

 

[그림] Trojan Download

 

 

[Payload] Dridex Trojan

행위: Trojan
파일 이름: Y739Ayh.exe
파일 크기: 114,688 bytes
SHA256: bf05b3c1e875368426c12339439be054acbf7b6f4c304ea6c3728886fd2c0aea

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

 

[그림] Wins APTX 탐지

 

출처

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림1] https://myonlinesecurity.co.uk/fake-xero-accounting-software-invoice-delivers-dridex-banking-trojan/

첨부파일 첨부파일이 없습니다.
태그 MalSpam  Dridex  Trojan  스팸메일