Notion 설치파일로 위장한 MSIX 악성코드 유포

개요

 

유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 

다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다.

해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다.

유효한 서명

• 해당 프로그램이 신뢰할 수 있는 출처에서 작성되고 변조되지 않았음을 보장하기 위한 디지털 서명을 포함하고 있다는 뜻

실행 후 설치를 누르면 Notion이 설치됨과 동시에 악성코드에 감염된다. 

 

설치 

 

설치 시 프로그램 경로에 StartingScriptWrapper.ps1, refresh.ps1 파일이 생성된다. 

• StartingScriptWrapper.ps1 : 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일 → 설치 과정에서 패키지 내부 config.json 설정 파일을 읽어 특정 파워쉘 스크립트 실행 가능 
• config.json : refresh.ps1 파일을 실행하도록 구성 

 

악성코드 실행 

 

• refresh.ps1 : 실질적인 악성코드로, C2에서 명령어 다운로드하여 실행하는 기능 
  • 공백 문자를 활용하여 난독화된 구조
  • 공백만으로 이루어진 각 변수에 정수를 대입하고 이를 곱하거나 더해 문자열을 완성한다. 
  • 난독화된 스크립트는 8663자로 구성되어 있는데 반해 최종 실행되는 문자열은 약 200자 길이의 명령어이다.

해당 명령어는 C2에서 추가 파워쉘 명령어를 다운로드 후 실행한다. 
(현재는 C2 서버가 정상적으로 응답하지 않지만) 최초 분석 당시 LummaC2 악성코드 유포를 확인하였다. 

안랩 제품 로그를 통해 hxxps://fleetcontents.com/1.dat 파일이 다운로드되어 PowerShell.exe 상에서 로드되어 실행된 것을 확인했다. 

→ C2는 또 다른 C2에서 1.dat 파일을 다운로드 후 로드하는 명령을 응답했을 것으로 추정 

• 1.dat 파일 : .NET EXE 파일 
  • 프로세스 할로잉 기법을 이용하여 RegAsm.exe에 LummaC2 악성코드를 주입하여 실행한다. 

 

악성행위에 대한 프로세스 트리는 다음과 같다. 
윈도우 인스톨러를 통해 실행되므로 관련 서비스 호스트로 부터 시작된다. 

 

LummaC2

 

정보탈취형 악성코드로, 브라우저 정보, 암호화폐 정보, 파일 등 탈취 가능하다. 

파일을 실행할 때는 반드시 공식 홈페이지의 도메인임을 확인해야 하며 정상 서명을 가진 경우에도 서명 게시자를 반드시 확인해야 한다. 

특히 최근 유포된 Notion 위장 악성코드 외에도 Slack, WinRar, Bandicam 등 다양한 프로그램을 위장한 악성 MSIX 파일도 확인되므로 MSIX 파일은 실행 시 특히 주의해야 한다. 

 

출처 : https://asec.ahnlab.com/ko/62324/