• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

페이팔 스팸메일과 결합된 악성코드 유포중! 2012.08.09

송신자 불명확한 메일에 포함된 웹 사이트 연결 링크 주의!


[보안뉴스 김태형]  최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다고 안랩 시큐리티대응센터(이하 ASEC)가 밝혔다.


ASEC는 최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 경우로 다음 사례들을 들었다.


·2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷

·2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


ASEC는 지난 8월 7일 “블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다”고 밝혔다.


ASEC에 따르면 이번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.


    


페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며 [Accept]부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.


    


해당 [Accept]부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속한다. 그러나 실제 해당 웹 페이지 하단에는 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.


해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame으로 처리된 코드가 나타나며 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.


·APSB10-07 - Security updates available for Adobe Reader and Acrobat (CVE-2010-0188)


·MS10-042 - 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점 (2229593) (CVE-2010-1885)


·MS06-014 - MDAC(Microsoft Data Access Components) 원격코드 실행 취약점 (CVE-2006-0003)


해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll(84,480 바이트)는 다시 자신의 복사본을 아래 경로에 KB01458289.exe(84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅할 때마다 자동 실행되도록 구성했다. 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe=C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe

 

그리고 감염된 PC에서 실행중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

 

·웹 사이트 접속 정보
·FTP 시스템 접속 사용자 계정과 비밀 번호 정보

·POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

·웹 폼 변조(Formgrabber) 및 웹 폼 인젝션(httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.


이번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


·JS/Iframe

·JS/Redirect

·PDF/Cve-2010-0188

·Win-Trojan/Agent.84480.HA


페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀번호 정보를 탈취할 수 있어 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>