이 두 악성코드 캠페인들은 서로 다른 사이버 범죄자들의 작업으로 보이지만 둘 사이에는 많은 유사점이 발견되었다.
이 두 공격들 모두 악성 매크로가 포함 된 마이크로소프트 워드 문서가 첨부 된 피싱 이메일로 시작 되며 파일이 없는 악성코드를 전달하기 위해 파워쉘을 사용한다.
Ursnif는 해킹 된 컴퓨터로부터 민감 정보를 훔치는 데이터 탈취 악성코드다. 또한 뱅킹 크리덴셜, 브라우징 활동, 키 입력 및 시스템/프로세스 정보 수집, 추가 백도어 설치 등의 기능이 있다.
작년 초에 발견 된 갠드크랩은 널리 확산 된 랜섬웨어 위협이다. 다른 랜섬웨어들과 같이 감염 된 시스템의 파일을 암호화 하고 피해자에게 랜섬머니를 요구한다. 개발자들은 랜섬머니를 더욱 추적이 힘든 DASH로 지불하기를 요구한다.
첫 번째 악성코드 캠페인은 악성코드 2가지를 한번에 배포한다. 이 위협을 발견한 카본블랙 보안연구원들은 실제 공격에서 악성 VBS 매크로가 포함 된 MS 워드 문서의 변종 약 180개를 발견했다.
성공적으로 악용 될 경우, 악성 VBS 매크로는 파워쉘 스크립트를 실행한다. 이 스크립트는 일련의 기술을 사용해 Ursnif와 갠드크랩을 타깃 시스템에 다운로드 및 실행한다.
이 PowerShell 스크립트는 base64로 암호화 되었으며, 손상 된 시스템에 메인 악성코드 페이로드 다운로드를 담당하는 다음 단계의 감염을 실행합니다.
첫 번째 페이로드는 타깃 시스템의 구조를 평가한 후 패스트빈 웹사이트로부터 추가 페이로드를 다운로드 하는 한 줄 짜리 파워쉘이었다. 이 추가 페이로드는 메모리에서 실행 되어 일반적인 안티 바이러스 기술로는 활동을 탐지하기 어렵도록 한다.
그 후 최종 페이로드는 피해자의 시스템에 갠드크랩 랜섬웨어의 변종을 설치하고, 랜섬머니를 지불할 때까지 시스템을 잠가버린다.
그 동안 이 악성코드는 원격 서버에서 Ursnif 실행파일을 다운로드 후 실행한다. 실행 되면 시스템의 핑거프린트를 수집하고 데이터 수집을 위해 웹 브라우저 트래픽을 모니터링하고 수집 된 데이터를 공격자의 C2 서버로 전송한다.
시스코 탈로스의 보안연구원이 발견 한 두 번째 악성 캠페인 또한 악성 VBA 매크로가 포함 된 마이크로소프트의 워드 문서를 이용해 또 다른 Ursnif 악성코드의 변종을 전달한다.
이 악성코드 공격 또한 타깃 시스템을 다단계로 공격한다. 파일이 없는 상태에서의 지속성을 얻기 위해 악성 파워쉘 명령어를 실행하기 위한 피싱 이메일로 시작해 Ursnif 데이터 탈취 악성코드를 다운로드 및 설치하게 된다.
일단 피해자의 컴퓨터에서 실행 되면 이 악성코드는 시스템에서 정보를 수집해 CAB 파일 형식으로 묶어 HTTPS 보안 연결을 통해 C2 서버로 보낸다. (정보. 이스트시큐리티)
★정보보안 대표 미디어 데일리시큐!★