[보안뉴스 / 10.13.] GuLoader 악성코드, 마이크로소프트 Word로 위장해 국내 유포 중

7월에 배포된 GuLoader와 달리 진단 우회 위해 관련 문자열 제거
인포스틸러 및 RAT 형태의 악성코드 다운로드 가능…사용자 주의 필요

[보안뉴스 김영명 기자] 마이크로소프트 워드(Word)로 위장한 GuLoader 악성코드가 국내에 유포되고 있는 것으로 확인됐다. 안랩 ASEC 분석팀은 GuLoader 악성코드가 국내 기업 사용자를 대상으로 유포 중인 정황을 포착했다.

[보안뉴스 / 10.13.] GuLoader 악성코드, 마이크로소프트 Word로 위장해 국내 유포 중

▲현재 유포 중인 GuLoader 악성코드 관련 피싱 메일[이미지=ASEC 분석팀]

GuLoader는 다운로더 악성코드로, 다양한 악성코드를 다운로드하며 과거부터 꾸준히 변형돼 유포되고 있다. 유포 중인 피싱 메일에는 HTML 파일이 첨부됐으며, 이 HTML 파일을 실행하면 압축 파일을 내려받게 된다. 압축파일 내부에는 IMG 파일이 존재하며, IMG 파일 내부에 GuLoader 악성코드가 존재한다. GuLoader는 Word 아이콘으로 위장했으며, 파일 끝에 약 600MB 크기의 Null 값이 추가된 형태다.

▲실제 크기(좌)와 유포 중인 파일 크기(우)[이미지=ASEC 분석팀]

또한, 지난 7월에도 유포됐던 GuLoader와 동일하게 NSIS 형태이지만 이번에 유포된 GuLoader에서는 NSIS Script의 기능에 변화가 생겼다. 기존 NSIS Script는 아래와 같이 호출하는 DLL 및 API 명의 일부 문자열이 존재했지만, 변경된 NSIS Script에서는 진단을 우회하기 위해 관련 문자열을 모두 제거했다.

▲기존 NSIS Script(좌) 및 변형된 NSIS Script(우)[이미지=ASEC 분석팀]

제거된 문자열들은 특정 파일에 인코딩된 형태로 존재한다. NSIS 파일 실행 시 함께 생성되는 파일 중 ‘Udmeldt.Ext’ 파일은 이후에 로드될 ShellCode이며, ‘Modig.Sta0’ 파일은 호출할 DLL 및 API 명이 인코딩된 형태로 존재한다. 문자열을 디코딩하는 과정은 아래 NSIS Script를 통해 확인할 수 있다.

먼저 API 호출을 위해 Modig.Sta0 파일의 12278(0x2FF6) 위치 데이터부터 XOR을 수행한 다음, 디코딩된 데이터는 순서대로 API를 호출하게 된다. API가 순서대로 호출되면 할당된 메모리에 ‘Udmeldt.Ext’ 파일의 21200(0×52D0) 위치 데이터를 로드 후 실행하게 된다. 이때 로드된 데이터가 실제 악성 행위를 수행한다.

▲로드되는 Shell Code(좌) 및 로드된 Shell Code(우)[이미지=ASEC 분석팀]

로드된 GuLoader는 ‘C:\program files\internet explorer\ieinstal.exe’ 경로의 정상 프로세스를 실행한 후 악성 데이터를 인젝션한다. 인젝션된 정상 프로세스는 특정 URL에 접속해 추가 악성코드 다운로드를 시도한다. 현재는 다운로드가 되지 않지만, Formbook, RedLine, AgentTesla 등 인포스틸러 및 RAT 형태의 악성코드를 다운로드할 수 있다.

안랩 ASEC 분석팀은 “다운로더 악성코드인 GuLoader는 진단을 우회하기 위해 꾸준하게 변형된 형식으로 유포되고 있다”며 “이번 악성코드는 국내 사용자를 대상으로 유포되고 있어 출처가 불분명한 메일의 경우 첨부파일을 실행하지 않도록 해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

[보안뉴스 / 10.13.] GuLoader 악성코드, 마이크로소프트 Word로 위장해 국내 유포 중