[Malware analysis] 이력서(지원서) 사칭 악성코드

[Malware analysis] 이력서 사칭 악성코드

분석 참조
- [주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포
 > https://asec.ahnlab.com/1316?category=342979

이력서(지원서) 사칭 악성코드

5월 20일 첨부파일 형태로 탐지되었다. .zip 파일 내부에 이력서를 확인 할 수 있다. 압축해제 후 (그림 1)와 같이 이력서 사칭 악성코드를 확인 할 수 있다.

(그림 1) 지원서 사칭 악성코드

[NW통신을 통한 .dll 파일 다운로드]

네트워크 통신으로 해당 도메인으로부터 dll 파일 다운로드 하는 것을 확인 할 수 있다.

- hxxp://barddistocor.com/freeb13.dll

- hxxp://barddistocor.com/mozglue.dll

- hxxp://barddistocor.com/msvcp140.dll

- hxxp://barddistocor.com/nss3.dll

- hxxp://barddistocor.com/softokn3.dll

- hxxp://barddistocor.com/vcruntime140.dll

[수집 정보 및 유출, NW 정보]

(그림 1)을 살펴보면 수집한 정보를 C:\ProgramData\RJ5NUSRW0CC1KRPD536TE40UC\files 폴더 내 저장하는 것을 확인 할 수 있다.

정보유출 이후 .txt 파일을 삭제하는 것을 확인 할 수 있다.

(그림 2) 수집 정보를 파일로 저장

Vidar 정보 유출형 악성코드로 (그림 3)와 같은 정보를 유출하는 것을 확인 할 수 있다. 추가로 화면 캡쳐도 함께 하는 것을 확인 할 수 있었다.

(그림 3) 일부 유출 정보

수집한 정보를 *.zip 로 압축하여 C2 로의 정보 전송을 확인 할 수 있다.

(그림 4) POST 메소드를 이용한 정보 전송

- Domain : barddistocor.com[169.239.129.113][MU]