티스토리 뷰

728x90
반응형

[Malware analysis] 이력서 사칭 악성코드


분석 참조
[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포
 > https://asec.ahnlab.com/1316?category=342979

이력서(지원서) 사칭 악성코드

5월 20일 첨부파일 형태로 탐지되었다. .zip 파일 내부에 이력서를 확인 할 수 있다. 압축해제 후 (그림 1)와 같이 이력서 사칭 악성코드를 확인 할 수 있다.

(그림 1) 지원서 사칭 악성코드


[NW통신을 통한 .dll 파일 다운로드]

네트워크 통신으로 해당 도메인으로부터 dll 파일 다운로드 하는 것을 확인 할 수 있다.

- hxxp://barddistocor.com/freeb13.dll

- hxxp://barddistocor.com/mozglue.dll

- hxxp://barddistocor.com/msvcp140.dll

- hxxp://barddistocor.com/nss3.dll

- hxxp://barddistocor.com/softokn3.dll

- hxxp://barddistocor.com/vcruntime140.dll


[수집 정보 및 유출, NW 정보]

(그림 1)을 살펴보면 수집한 정보를 C:\ProgramData\RJ5NUSRW0CC1KRPD536TE40UC\files 폴더 내 저장하는 것을 확인 할 수 있다.

정보유출 이후 .txt 파일을 삭제하는 것을 확인 할 수 있다.

(그림 2) 수집 정보를 파일로 저장


Vidar 정보 유출형 악성코드로 (그림 3)와 같은 정보를 유출하는 것을 확인 할 수 있다. 추가로 화면 캡쳐도 함께 하는 것을 확인 할 수 있었다.

(그림 3) 일부 유출 정보


수집한 정보를 *.zip 로 압축하여 C2 로의 정보 전송을 확인 할 수 있다.

(그림 4) POST 메소드를 이용한 정보 전송


- Domain : barddistocor.com[169.239.129.113][MU]



728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today