Kant's IT/Issue on IT&Security
윈도우 스크린세이버 파일(.scr)을 악용한 악성코드 유포 캠페인
Kant Jo
2025. 5. 24. 22:54
Threat Actors Use Windows Screensaver Files as Malware Delivery Method
Threat Actors Use Windows Screensaver Files as Malware Delivery Method
Cybersecurity experts at Symantec have uncovered a sophisticated phishing campaign targeting various sectors across multiple countries.
gbhackers.com
- 공격 개요
- 사이버 공격자들이 Windows 스크린세이버 파일(.scr)을 악용하여 악성코드를 배포하는 정교한 피싱 캠페인을 진행
- 유명 대만 물류업체를 사칭하여 국제 선적 알림으로 위장한 이메일을 통해 피해자 유도
- 악성 파일 전달 방식
- 이메일 제목: “//AMD ISF + AMD BL DRAFT // 聯盛 – 裝船通知單 – 4/7 結關 KAO TO ATLANTA,GA VIA NYC CFS【友鋮】SO.N023”
- 첨부 파일: “景大 台北港ISF (032525) – invoice# JN-032525C – KAO TO ATLANTA,GA VIA NYC CFS【友鋮】SO.N023.xlsx.rar”
- 압축 파일 내부에 스크린세이버(.scr) 파일 포함 → 실행 시 ModiLoader가 설치되어 다양한 악성코드 로딩
- 사용된 악성 로더 및 2차 페이로드
- ModiLoader: Delphi 기반 멀티 페이로드 로더
- 배포 악성코드 예시
- Remcos: 원격 제어 트로이목마
- Agent Tesla: 키로깅 및 정보 탈취
- MassLogger: 자격 증명 탈취형 멀웨어
- AsyncRAT: 원격 접근 툴
- Formbook: 데이터 탈취형 정보 수집기
- 주요 표적 산업 및 국가
- 산업 분야
- 산업 기계 제조, 출판 및 방송, 자동차 제조, 전자 산업, 접착제 생산, 항공우주 포함 복합기업, 위생 용품 소매, 연마제 제조, 테마파크 등
- 공격 대상 국가
- 일본, 영국, 미국, 스웨덴, 대만, 홍콩, 태국, 말레이시아 등
- 산업 분야
- 보안 권고
- Adaptive 기반 탐지: ACM.Untrst-RunSys!g1
- Carbon Black 정책: 의심 프로그램 및 PUP 차단, 클라우드 스캔 연기 권장
- 이메일 보안: ETI(Email Threat Isolation) 기술로 첨부파일 실행 차단
- 파일 기반 탐지: Trojan.Gen.MBT, Scr.Malcode!gen19 등으로 식별 및 격리
- 머신러닝 기반 탐지: Heur.AdvML.B 탐지 로직 적용
- 결론
- 스크린세이버 파일은 실행 파일(EXE)과 동일한 실행 속성을 가지므로 엄격한 필터링이 필요
- RAR, ZIP 등 압축 파일 내부에 포함된 실행 파일 탐지 로직 강화
- 물류, 회계, 영업 부서 등 스피어피싱 취약 대상 부서에 대한 보안 인식 제고 필요
- 이메일 격리 시스템, 첨부파일 미리보기, 샌드박스 기반 실행 분석 체계 도입 권장
- ModiLoader 같은 다단계 로더 기반 위협을 탐지할 수 있는 EDR 솔루션 운영 필수