Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Trojan.Cthonic
작성일 2017-10-13 조회 1223

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

유포 방식: E-Mail 내 링크

 

메일 내용

 - 제목: Amazon Associates Network : 귀하의 계정

 - 내용: 판매보고서와 데이터를 아래 문서를 통해 확인할 수 있다.

 

[그림] Amazon Associates를 가장한 스팸메일 (MyOnlineSecurity)

 

 

 

 

[첨부파일] Cthonic banking Trojan Downloader

행위: Malware Downloader 
파일 이름: bddca74a4da71137b8f780ff9c959a54_doc
파일 크기: 105,159 bytes 
C2 (1): hxxp://shirtlounge[.]eu/skin/priv8.exe
SHA2564ae26d1113eb2cdb0f18cedb036179cfaf0ff74e0cb6a605e4cdf357e3109a8c

 

 

링크를 통해 다운받은 Doc 문서를 실행하면 문서 내의 매크로가 동작하면서 해당 C2에서 악성코드를 다운로드 합니다.

 

[그림] 악성코드를 다운로드 하는 Doc

 

Doc 내부의 인코딩된 문자열을 특정 루틴으로 디코딩하면 악성코드를 다운로드하는 C2와 명령어를 확인할 수 있습니다.

 

[그림] Pseudo Code

 

 

 

이후 C2에 접속해 악성코드를 다운로드 합니다.

 

[그림] Malware Donwloader C2 

 

 

 

[Payload] Cthonic banking Trojan

행위: Banking Trojan
파일 이름priv8.exe-> 8Xj.exe
파일 크기: 94,648bytes
SHA2567c9c3cddbf358f81f22a114c05efcec27a18f1eb5443bddd34b9ae704633785e

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림] Wins APTX 탐지

 

Source

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림 1] https://myonlinesecurity.co.uk/emotet-banking-trojan-delivered-by-fake-invoice-reminder-emails-appearing-to-come-from-a-known-contact/

첨부파일 첨부파일이 없습니다.
태그   Cthonic