10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다.
엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다.
2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의
‘급여명세서’ 메일로 유포되는 엑셀 문서 주의
10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월..
asec.ahnlab.com
이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유포되고 있는 스팸 메일의 경우 드롭박스를 위장하여 악성 엑셀 문서를 유포한다는 점이다. 메일에 포함된 링크에는 “N98300_10.21.19.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일이 존재한다. 해당 메일의 경우 발송자를 “XX회계법인”으로 위장하였으며, 발송자와 메일 제목 내용은 달라질 가능성이 높다.
악성 엑셀 문서를 실행하면 다음과 같은 화면을 볼 수 있으며, 사용자의 매크로 사용 허용을 유도한다. 만약 매크로 사용을 허용한다면, 내부에 포함된 악성 매크로가 실행된다.
이번에 확인된 C2 주소는 다음과 같다.
| C&C 서버 : https://windows-service-en[.]com/f2121 |
흔히 알려진 악성 매크로를 포함하는 문서 파일을 첨부한 형태의 스팸 메일이 아닌, 위와 같이 Dropbox를 위장한 악성 링크를 포함하여 유포되는 악성 메일에 대해서도 주의가 필요하다.
안랩은 스팸 메일로 유포되는 악성 문서 파일과 다운로드되는 실행 파일을 다음과 같이 진단하고 있다. 또한 악성 엑셀 파일이 접속하는 악성 C&C 주소를 ASD 네트워크를 통해 차단하고 있다.
- VBA/Loader (2019.10.22.03)
- BinImage/Encpe (2019.10.22.04)
- VBA/Loader.S3 (2019.10.22.04)
- Trojan/Win32.Reflect.C3525295 (2019.10.22.04)
- Trojan/Win64.Reflect.R295367 (2019.10.22.04)
'악성코드 정보' 카테고리의 다른 글
| 빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe) (0) | 2019.11.05 |
|---|---|
| 'CES 참관단 참가신청서' 내용의 악성 HWP 유포 (0) | 2019.10.24 |
| ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 (2) | 2019.10.18 |
| Kimsuky 조직 악성 HWP 한글 문서 유포 (1) | 2019.10.17 |
| [주의] 문서 형태로 유포되는 이모텟(Emotet) 악성코드 (0) | 2019.10.11 |
댓글