[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드

[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드

에이전트 테슬라 악성코드는 메일의 첨부파일을 통해 유포된다. 해당 파일을 열었을 경우 아래와 같은 주소에서 파일을 다운로드 받는 것을 확인할 수 있다.

또한, 아래와 같은 메일 내용을 가지고 첨부 파일에는 악성파일과 정상 파일을 함께 첨부하여 유포되고 있다.(공급 업체_재료.pdf)

에이전트 테슬라는 합법적으로 판매되는 프로그램이지만, 공격자에 의해 악용으로 유포되고 있으며 인포스틸러인 악성코드 이다.

위와 같이 .doc 파일와 같은 방식으로 유포도 되지만, ,.cab 확장자를 통하여 첨부파일에 첨부되어 유포되기도 한다.

해당 파일 압축 해제 시 아래와 같이 .exe 파일을 확인할 수 있다.

살펴보면 닷넷으로 만들어졌으며, 프로세스를 새롭게 생성하여 악성 행위를 하는 것을 확인할 수 있다.

참고로 요즘 인포스틸러(Lokibot, agenttesla) 악성코드를 보게되면 이러한 방식을 사용하는 것 같다.

해당 사용자의 정보를 수집하는 것을 확인할 수 있다.

이후 다수의 브라우저 정보를 탈취하기 위해 아래와 같은 루틴이 진행 되는 것을 확인할 수 있다.

Opera Browser, Yandex Browser, Iridium Browser, 7Star, Torch Browser, Cool Novo, Kometa, Brave, CentBrowser, Orbitum, Sputnik, Comodo Dragon, Vivaldi, Citrio, 360 Browser, Uran, Liebao Browser, Elements Browser, Epic Privacy, Coccoc, Sleipnir 6, QIP Surf, Coowon

이후 응용 프로그램의 사용자 계정 정보와 내역을 탈취하는 시도를 계속해서 확인할 수 있다.

추가 진행 시 Mail, FTP등의 응용 프로그램 목록을 탈취 시도를 확인할 수 있다.

해당 wpad.dat 파일을 다운로드 시도 하지만 다운로드 되지 않는 것을 확인할 수 있다.(https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol)