꿈을꾸는 파랑새

오늘은 해외 선물 투자 ETF 로 위장하는 악성코드 사이트에 대해 글을 적어 보겠습니다. 일단 개인적으로 노트북이 성능이 안 좋아서 버추얼 박스 및 VM웨어 에서 가상환경을 실행 및 분석을 진행하지 못했습니다. 일단 해당 악성코드 유포 사이트는 해외 선물 투자ETF 위장을 하고 있으면 구글로 검색을 해보니 플러스자산운용(주)을 피싱 사이트로 추정이 됩니다.
일단 해당 사이트에서는 
성공투자의 시작
증권사 연동을 통한 신속하고 정확한 체결과
지속적인 프로그램 관리로 안정적인 투자환경을 제공합니다.
트레이딩 다운받기
라는 부분을 통해서 악성코드인 ETF_SETUP.exe를 다운로드 하면 해당 악성코드 다운로드 주소는 다음과 같습니다.

https://plusasset(.)net/install/ETF_SETUP.exe

악성코드 유포 파일
악성코드 유포 파일

그리고 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:ETF_SETUP.exe
사이즈:4.29 MB
CRC32:1b5e5f09
MD5:4d5ab4e4cd61262a83b60274a6c62b7a
SHA-1:e7b55cc737a8cfb12360b86744666317f18570bc
SHA-256:d17068cc5a649c9207f0e197fc035a26a83c295323d880cb6f5753ad8de5426f
크롬 이외의 브라우져에서는 일부 프로그램이 차단될수 있으니 크롬 브라우져를 이용하여 다운로드 부탁드립니다.
라고 되어져 있고 보면 브라우저가 아닌 브라우져 라고 돼 있는 것 보면 대충 견적이 나올 것입니다. 해당 여기서 다운로드 되는 구글 크롬 실제 설치 파일을 압축파일 형태로 배포하고 있습니다. 즉 이렇게 신경이 쓰이는 분들은 정상적인 구글 크롬 사이트를 이용하시면 될 것입니다.

악성코드 사이트 웹 소스 사업자 등록번호 없음
악성코드 사이트 웹 소스 사업자 등록번호 없음

나름대로 피싱 사이트를 통해서 악성코드를 감염을 시키려고 시도를 하고 있으면 정상적인 사이트와 다음 점은 역시나 어디에 보더라도 사업자등록번호, 대표자, 주소, 전화번호, 이메일이 전혀 존재하지 않고 있으면 혹시나 해서 웹 소스를 열어보아도 당연히 피싱 사이트 이니까 없습니다.
나름대로 피싱 사이트 인척 안하기 위해서 https로 구성이 돼 있고 인증서가 있는 것을 확인할 수가 있으며 해당 악성코드는 바이러스토탈(VirusTotal) 2022-06-22 04:34:22 UTC 기준으로 다음과 같은 보안 업체들이 진단하고 있습니다.
Bkav Pro:W32.AIDetect.malware2
CrowdStrike Falcon:Win/malicious_confidence_60% (W)
Cynet:Malicious (score: 100)
MaxSecure:Trojan-Ransom.Win32.Crypmod.zfq
SecureAge APEX:Malicious
SentinelOne (Static ML):Static AI - Suspicious PE

ETF_SETUP 속성
ETF_SETUP 속성

그리고 혹시나 다른 백신 프로그램을 탐지하지 못해서 해당 악성코드는 신고했으면 악성코드 샘플은 여러분이 다 아시는 곳에 있습니다.
또한, Safe Browsing 그리고 마이크로소프트의 스마트스크린(SmartScreen) 신고 정상적으로 등록되면 마이크로소프트 엣지(Microsoft Edge)에서 차단이 될 것이며 독일의 Avira,,Emsisoft(엠시소프트)에 신고는 완료,안랩(V3),이스트소프트(알약)에 신고 완료,노턴 시만텍 의 Submit a file to Symantec Security Response for review 에 신고 완료,ESET 쪽에는 피싱 과 악성코드 둘 다 신고 완료
일단 해당 악성코드가 분석이 완료되면 보안 업체에서 최신 업데이트를 적용을 하면 해당 악성코드를 탐지할 것입니다. 기본적인 보안 수칙을 지켜 주면 안전하게 컴퓨터를 사용할 수가 있을 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band