멀웨어 파일은 메일 캠페인을 통해서 “Request For Quotation.Exe” 파일이 첨부되거나, P2P 사이트에서 다운로드되며 어도비 PDF 아이콘으로 위장해 유포되고 있다.
이번 멀웨어를 발견하고 데일리시큐에 제보한 파고네트웍스(대표 권영목) 지능형위협분석대응팀은 "이 멀웨어 파일이 실행되면, 사용자가 웹브라우저를 통해 입력하는 로그인 아이디와 패스워드 그리고 메일계정과 패스워드를 외부 특정 FTP 서버로 자동으로 유출하는 정황을 발견했다"며 "브라우저 패스워드 덤프툴과 이메일 패스워드 덤프 툴이 백그라운드에서 작동하고 상당히 오랜 기간동안 피해 시스템에 머물면서 다양한 웹사이트에 접속하는 사용자의 계정정보를 유출시키는 것으로 확인됐다"고 경고했다.
공격자의 외부 특정 FTP 서버는 6월14일부터 현재까지도 계속 작동하고 있으며 유포된 멀웨어에서 지속적으로 피해자의 계정정보들이 수집되고 있는 것이 확인된 것이다.
멀웨어 분석 내용에 따르면, 해당 멀웨어의 피해 시스템들이 글로벌하게 분포하고 있지만 그중 한국 기업과 공공기관들의 내부 ERP 시스템, 웹로그인 시스템 그리고 메일 시스템에 접속하는 계정들이 다수 발견되었다. 또 특정 사이트에 개인 메일이 아니라 기업메일을 이용한 가입자의 로그인 정보와 패스워드도 그대로 유출된 것으로 조사됐다.
현재까지 약 5천700여 개의 유출된 파일이 FTP 서버에 존재하며 한 개의 파일마다 약100개 미만의 사용자 아이디와 패스워드가 기록되어 있었다.
파고네트웍스에서 분석한 이번 멀웨어의 작동방식은 다음과 같다.
최초 멀웨어 파일이 실행되면 “C:Users사용자명AppDataRoamingLocal4Adobe4low” 경로에 다수의 파일을 생성시키고, xcopy.exe 프로세스를 통해서 “C:Users사용자명AppDataRoamingAdobeAdobe INCAdobeRead” 경로에 앞서 생성된 파일들을 복사한다.
△자동 생성되는 파일들
- BReader.exe
- aijw01.bat
- nimiki09.vbs
- 870.afr
- adbr01.ght
- sun.afr
- Adobeta.exe
- 7922.jpg
- ZREA.vbs
- adbr02.ght
- enikiol03.bat
- adbr01.exe
- adbr02.exe
최초 실행된 멀웨어 프로세스가 종료된 후, wscript.exe 프로세스 하위에 “netsh.exe, adobeta.exe, reg.exe, ipconfig.exe, adbr01.exe, adbr02.exe”등의 프로세스가 실행된다.
-adbr01.exe => Browser Password Dump 역할
-adbr02.exe => Email Password Dump 역할
-Adobeta.exe =>외부 FTP 서버로 수집된 계정과 패스워드 전송
-sun.afr =>외부 FTP 서버로 접속하기 위한 FTP 계정정보 포함
감염된 시스템에서 수집된 계정과 패스워드는 아래 경로에 저장된 후, 외부 FTP 서버로 전송된다. FTP 로그인 및 파일업로드 과정을 패킷 캡쳐한 내용은 위 첫번째 이미지와 같다.
이어 “공격자의 FTP 서버는 여전히 운영중이며 유출된 데이터가 계속 업데이트되는 것으로 미루어, 멀웨어가 차단되지 않고 활발히 활동중인 것으로 보인다. 일반 사용자들의 각별한 주의가 필요하다"고 강조했다.
★정보보안 대표 미디어 데일리시큐!★