​

안랩에서 ASEC 블로그에 매주 업데이트 중인 주간 Top5 악성코드 키워드에 구로더(GuLoader)가 2년만에 다시 랭크되었다. 해당 악성코드는 아래와 같이 피싱메일을 통해 유포되고 있다. 이번 사례에사는 견적의뢰서로 위장한 구로더를 확인하였으며, 파일명으로 보아 이외에도 다양한 피싱 형태가 유포되고 있는 것으로 보인다.

​
 [그림 1] 구로더 유포 피싱 메일

[유포 파일명 일부]

• JP181222006.exe

• Setup.exe

• PRICE_OF.EXE

• Remittance Advice.pdf.exe

• Purchase order_104121_90778_azBRIGHTOK.exe


기존의 구로더는 비주얼베이직(Visual Basic) 언어로 패킹되었던 반면, 최근에는 NSIS 형태로 유포되고 있다. 구로더는 실행 시 아래와 같이 인스톨러 파일로 보이도록 설치 GUI창을 띄운다.
　

[그림2] 설치 창 생성

구로더는 위 NSIS 파일 내부의 nsi파일에서와 같이 ‘%appdata%\Bestikkendes8’ 경로에 내부 파일을 생성한다. 해당 프로세스가 완료되면 ‘SetAutoClose’값을 true로 설정하여 [그림2]의 설치 창이 자동으로 사라진다.

[표1] nsi 스크립트 일부

이후 내부의 데이터를 메모리에서 디코딩한 후 실행하며 최종적으로 ‘hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin’ 에 접속하여 추가적인 악성코드 다운로드를 시도한다. 최근 확인되는 구로더들은 과거와 동일하게 인포스틸러 및 RAT 형태의 악성코드를 다운로드하고 있다.



[최종 다운로드되는 악성코드 유형]

• Formbook (Infostealer)

• AgentTesla (Infostealer)

• Remcos (RAT)

• NanoCore (RAT)



최근 구로더 유포 사례가 증가하고, 한글로 작성된 이메일을 통해 유포되는 것이 확인된 만큼 국내 사용자들의 주의가 필요하다.

현재 V3는 해당 악성코드를 효과적으로 탐지 및 차단하고 있다.


[출처 : 안랩(((www.ahnlab.com)]