기술 지원
문서
로그인
문의하기
새로운 피싱 캠페인을 통해 확산되는 QBot 멀웨어
2023년 5월 3일 TuxCare 홍보팀
프록시라이프와 크립톨라에무스 그룹은 PDF와 윈도우 스크립트 파일(WSF)을 통해 QBot 멀웨어를 배포하는 새로운 피싱 활동을 탐지했습니다. QakBot이라고도 알려진 QBot은 정보를 훔치는 바이러스로, 범죄 집단의 악의적인 행동을 돕는 드롭퍼로 성장했습니다.
피싱 이메일은 악의적인 공격자가 악성 링크 또는 첨부 파일이 포함된 일련의 이메일에 응답하는 회신 체인 이메일입니다. 이러한 피싱 이메일은 다양한 언어를 사용하므로 전 세계 모든 조직이 피해를 입을 수 있습니다. 이메일 체인의 누군가가 링크된 PDF를 열람하면 "이 문서에는 보호된 파일이 포함되어 있으므로 해당 파일을 표시하려면 '열기' 버튼을 클릭하세요."라는 경고 메시지가 표시됩니다. 버튼을 클릭하면 WSF 스크립트가 포함된 ZIP 파일이 다운로드됩니다.
이 캠페인의 스크립트는 철저하게 숨겨져 있으며 자바스크립트(JS)와 VBScript 코드가 혼합되어 있습니다. 이 스크립트가 실행되면 URL 목록에서 QBot DLL을 다운로드하는 PowerShell 프로그램이 시작됩니다. 이 스크립트는 각 URL을 시도하여 Windows Temp 폴더에 파일을 다운로드하고 실행할 때까지 시도합니다. QBot이 시작되면 정품 Windows 구성 요소인 Windows 오류 관리자 소프트웨어인 wermgr.exe에 삽입됩니다. 이렇게 하면 QBot이 백그라운드에서 보이지 않게 실행될 수 있습니다.
카스퍼스키가 이 캠페인을 연구한 결과, 이 캠페인은 회신 체인 이메일을 사용하여 잠재적 표적이 악의적이라는 것을 인식하기 어렵게 만듭니다. 이 이메일은 공격자가 입수한 합법적인 비즈니스 편지 스타일로 작성되어 수신자가 PDF 첨부 파일을 다운로드하도록 유도합니다. 이 PDF 파일에는 여러 수준의 난독화가 적용되어 있어 보안 프로그램이 악성 여부를 식별하기 어렵습니다.
PDF 파일 안에는 Base64 줄로 인코딩된 숨겨진 PowerShell 스크립트가 포함된 Windows 스크립트 파일(WSF)이 있습니다. 컴퓨터에서 PowerShell 스크립트가 실행되면, wget 도구를 사용하여 원격 서버에서 DLL 파일을 다운로드하고, 이 파일을 사용하여 피해자의 PC에 QBot 멀웨어를 유포합니다.
QBot은 여러 계층의 난독화를 통해 탐지를 어렵게 만듭니다. WSF는 탐지를 회피하기 위해 난독화되어 추가 페이로드를 다운로드한다고 Tanium의 수석 보안 고문인 티모시 모리스는 설명합니다. 공격 '연쇄' 또는 여러 단계를 사용하면 악의적인 행동의 전체 컨텍스트를 단일 활동으로 관찰할 수 없기 때문에 일부 보호 기능을 우회하는 데 도움이 됩니다.
이 글의 출처는 Malwarebytes의 기사입니다.
