2019년 7월 25일 오전 전자항공권을 위장하여 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 항공사의 전자항공권으로 위장하여 스팸 메일이 발송되었고, 첨부 된 .iso 파일은 pdf로 위장한 악성 실행파일(*.scr)을 포함하고 있다.
확인결과, 해당파일은 기업사용자를 타겟하여 유포 중인 CLOP 랜섬웨어에서 사용되는 Ammyy 해킹툴을 다운로드 하는것으로 확인되었다. 또한, 기존에 사용했던 엑셀 문서파일(*.xl 확장자) 형태도 함께 확인되어 다양한 방식으로 Ammyy 해킹툴을 국내에 유포 중인 것으로 추정된다. 아래의 그림은 ISO 파일 확장자로 유포된 형태를 나타낸다.
[1] ISO 형태
ISO 내부에는 아래와 같이 PDF 문서파일로 위장한 SCR 확장자(EXE와 같은 실행파일 형태)의 실행파일이 존재함을 알 수 있다.
PDF 위장 실행파일을 실행 시 [그림 3]에서 처럼 명시된 URL 주소로 접속하여 파일을 다운로드하는 기능을 수행한다. 확인결과, 해당 악성코드는 Ammyy 라는 이름의 해킹툴로 CLOP 랜섬웨어 감염 전에 설치되는 파일이다. 이 외에 [그림 4] 와 같이 링크 파일 형태의 다운로더 파일도 발견되고 있으며, 다양한 유포방식의 분석은 하기의 전 글을 참고하기 바란다.
[2] LNK 바로가기 형태
추가로 확인된 엑셀문서파일은 아래와 같은 화면이 보여지며, 내부 매크로 코드에 의해 2차 파일 다운로드가 수행되며 Ammyy 해킹툴로 확인되었다.
[3] 엑셀 문서파일 형태
흥미로운 점은 엑셀문서와 위 ISO 파일에 의해 접속하는 다운로드 주소가 동일하다는 점이며, 이를 통해 공격자는 기존의 문서파일 형태의 공격 뿐 아니라 다양한 형태로 감염을 시도하고 있음을 알 수 있다.
2019/05/30 - [악성코드 정보] - [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP)
2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포
2019/03/08 - [악성코드 정보] - 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어)
2019/03/07 - [악성코드 정보] - 해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?)
2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일
2019/02/14 - [악성코드 정보] - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일
- ISO : BinImage/Dropper(2019.07.25.03)
- EXE : Trojan/Win32.Agent (2019.07.25.03)
- 다운로드 PE(EXE) : Win-Trojan/Clopran.Exp (2019.06.21.00)
- LNK : LNK/Runner(2019.07.25.03)
'악성코드 정보' 카테고리의 다른 글
| 취약점(CVE-2018-4878)을 악용한 러시아發 악성코드 유포 (0) | 2019.08.21 |
|---|---|
| [긴급] '스캔파일' 메일로 유포되는 워드 문서 주의 - Ammyy 유포 (0) | 2019.08.09 |
| [보고서] 한글 파일에 숨어든 ‘고스트’ (1) | 2019.07.03 |
| 3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 (0) | 2019.07.02 |
| 다양한 형태로 유포되는 CLOP 랜섬웨어 (1) | 2019.06.27 |
댓글