본문 바로가기
악성코드 정보

[주의] 상여금 발급 청구서로 위장한 워드 문서파일

by 분석팀 2020. 4. 1.

ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠 사용을 유도하기 위해 Office 이미지 또는 Invoice (송장)등을 주로 이용하였다. 

 

기존 자주 사용되는 악성 매크로 이미지

 

그러나 이와 달리 4월 1일 발견된 문서 파일은 상여금, 보너스 라는 단어들을 사용하여 매크로 사용을 유도하였다. 만약, 상여금을 받는 회사에 단체로 스팸메일이 발송 되었을 경우, 많은 사람들은 의심없이 해당 콘텐츠 사용을 누르게 되었을 것으로 생각된다.

 

  • 파일명 : 직원활동상여금발급청구서.doc

4월 1일 악성 문서 파일 내용
내부 매크로 코드 중 일부

콘텐츠 사용을 누르게 되면 아래 프로세스 트리와 같이 powershell.exe을 이용해 외부 URL 접속하여 DLL형식의 2차 악성 파일(log.txt)을 다운로드 받은 후, rundll32.exe를 이용해 실행되는 흐름을 갖는다. 

  • https[:]image.last8900.us/log.txt (DLL형식의 악성파일)

암호화폐 거래소(bithumb)와 유사한 주소에서 추가 정보를 받아 동작할 것으로 보이나 현재는 받아오는 정보가 없어 추가 악성행위는 알 수 없다.

 

[C2로 추정되는 주소]

  • http[:]//cs.bit-humb.com

프로세스 트리

 

문서 악성코드의 경우 콘텐츠 사용, 매크로 사용을 유도하는 경우가 대부분이다. 위 그림들과 같은 요청 또는 콘텐츠 사용을 유도하는 글이 있을 경우 콘텐츠 사용을 누르지 말고, 메일을 보낸 수신인을 꼭 확인 하여야 한다. 

 

현재 안랩 V3에서는 이와 같은 악성 문서파일과 DLL파일을 다음과 같은 진단명으로  진단하고 있다.

  • VBA/Downloader (2020.04.01.01)
  • Trojan/Win32.Inject (2020.04.01.06)

 

 

댓글