본문 바로가기
악성코드 정보

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중

by 분석팀 2020. 4. 9.

ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다.

 

  • http[:]//saemaeul.mireene.com/skin/board/basic/bin

해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다.

 

사용자에게 보여지는 내용

 

문서파일을 열 경우 아래와 같이 다운로드 시도 화면이 사용자에게 보여진다.

 

워드 실행 시 접속 URL 

 

이러한 외부 다운로드 기능은 아래의 그림에서 알 수 있듯이 워드문서 내부 개체 중 "settings.xml.rels" 파일의 Target 항목에 의해 발생한다.

 

External Link

 

다운로드에 성공 할 경우, 추가로 아래의 주소로 사용자 정보가 유출되는 기능을 수행한다.

 

  • http[:]//saemaeul.mireene.com/skin/board/basic/bin/report.php

현재는 해당 사이트 접속이 차단되어 아래의 그림만 사용자에게 보여지고, 추가 악성행위는 일어나지 않는다.

 

다운로드 실패 시 보여지는 화면

 

현재 V3에서는 이와 같은 문서 악성파일을 다음과 같은 진단명으로 진단하고 있다.

  • XML/Dloader (2020.04.10.00)

4월 15일 예정된 21대 국회의원 선거일을 앞두고 이러한 선거관련 악성 문서파일의 유포가 빈번하게 발생할 수 있음으로 출처가 불분명한 문서파일의 경우 각별한 사용자 주의가 요구된다.

댓글