2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다. 

 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다. 

 이 악성코드는 파일을 실행하면 리소스 영역(RCData  WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다. 

리소스 영역(RCData  WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다. 

 이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다. 이때 생성된 PE 내 리소스 영역에는 실제 악성 행위를 수행하는 ‘NanoCore’ 페이로드가 존재합니다. 

이 페이로드는 최종 자식 프로세스에 인젝션되어 실행됩니다. ‘NanoCore’는 RAT(Remote Access Trojan)으로 감염된 PC를 공격자의 서버(185.140.53.155)로부터 명령을 받아 원격 조작됩니다. 원격제어 기능은 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 지원합니다.

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Razy.802650’, ‘Trojan.GenericKD.30598436’ 탐지 중입니다.