ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠 사용을 유도하기 위해 Office 이미지 또는 Invoice (송장)등을 주로 이용하였다.
그러나 이와 달리 4월 1일 발견된 문서 파일은 상여금, 보너스 라는 단어들을 사용하여 매크로 사용을 유도하였다. 만약, 상여금을 받는 회사에 단체로 스팸메일이 발송 되었을 경우, 많은 사람들은 의심없이 해당 콘텐츠 사용을 누르게 되었을 것으로 생각된다.
- 파일명 : 직원활동상여금발급청구서.doc
콘텐츠 사용을 누르게 되면 아래 프로세스 트리와 같이 powershell.exe을 이용해 외부 URL 접속하여 DLL형식의 2차 악성 파일(log.txt)을 다운로드 받은 후, rundll32.exe를 이용해 실행되는 흐름을 갖는다.
- https[:]image.last8900.us/log.txt (DLL형식의 악성파일)
암호화폐 거래소(bithumb)와 유사한 주소에서 추가 정보를 받아 동작할 것으로 보이나 현재는 받아오는 정보가 없어 추가 악성행위는 알 수 없다.
[C2로 추정되는 주소]
- http[:]//cs.bit-humb.com
문서 악성코드의 경우 콘텐츠 사용, 매크로 사용을 유도하는 경우가 대부분이다. 위 그림들과 같은 요청 또는 콘텐츠 사용을 유도하는 글이 있을 경우 콘텐츠 사용을 누르지 말고, 메일을 보낸 수신인을 꼭 확인 하여야 한다.
현재 안랩 V3에서는 이와 같은 악성 문서파일과 DLL파일을 다음과 같은 진단명으로 진단하고 있다.
- VBA/Downloader (2020.04.01.01)
- Trojan/Win32.Inject (2020.04.01.06)
'악성코드 정보' 카테고리의 다른 글
| '코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 (0) | 2020.04.02 |
|---|---|
| 새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) (0) | 2020.04.02 |
| 압축 툴마다 압축해제 방식의 차이를 이용한 공격기법 (WinRAR 사용유도) (0) | 2020.03.30 |
| 엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden) (0) | 2020.03.27 |
| CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화 (0) | 2020.03.25 |
댓글