범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해

범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해

Crooks leverages a new technique to deliver Malware via PowerPoint presentations

최근 공격자들이 파워포인트를 통한 악성코드 배포 기술을 사용하고 있는 것으로 밝혀졌습니다. 해당 공격은 현재 성행 중인 것으로 확인되어, 사용자들의 주의가 필요합니다. 

연구원들은 최근 PowerShell 코드를 실행하기 위해 마우스오버 이벤트를 악용한 여러 개의 파워포인트 파일들을 발견했습니다. 공격자들은 “Purchase Order #130527”, “Confirmation”이라는 제목으로 “order.ppsx” 또는 “invoice.ppsx”라는 이름으로 스팸 메시지에 포함되어 있었습니다. 

보안연구원 Ruben Daniel Dodge는 이 기술과 관련한 흥미로운 포스팅을 게시했습니다. 그는 포스팅을 통해 파워포인트 프레젠테이션 파일이 오픈되었을 때, “Loading… Please Wait”라는 텍스트를 하이퍼링크로 표시하는 공격 시나리오를 공개했습니다.

사용자가 링크 위로 마우스를 갖다대면, 클릭하지 않아도 PowerShell 코드가 자동으로 실행됩니다. 연구원들은 “사용자가 문서를 오픈하면, “Loading…Please wait”라는 메시지가 파란색 하이퍼링크로 표시된다. 사용자가 마우스를 갖다대기만 해도, 이는 파워포인트가 PowerShell 실행하는 결과로 이어진다.”고 밝혔습니다. ‘제한된 보기’ 보안 기능은 사용자에게 위험을 알리고, 실행 허용을 활성화 하라는 창을 띄웁니다.

<이미지 출처: https://sentinelone.com/blogs/zusy-powerpoint-malware-spreads-without-needing-macros/>

사용자가 컨텐츠를 활성화 할 경우, PowerShell 코드가 실행됩니다. 이후 “cccn.nl” 도메인에 연결되어 멀웨어 다운로드를 전달하는 역할을 하는 파일을 다운로드하고 실행합니다. 현재 이 기술은 범죄자들이 이미 실제로 악용하고 있는 것으로 확인되었습니다.

SentinelOne의 악성코드 연구원들은 이 기술을 악용하는 공격자들이 뱅킹 트로이목마인 Zusy, Tinba, Tiny Banker의 새로운 변종들을 배포한다고 밝혔습니다. 연구원들은 사용자가 PowerPoint Viewer를 통해서 문서를 오픈하는 경우에도 이 공격이 작동한다고도 강조하며 주의를 당부하였습니다.

현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.agent.xml, Trojan.JS.Downloader.Agent, Trojan.Downloader.Injecter 로 탐지중에 있습니다. 

출처 :

http://securityaffairs.co/wordpress/59761/hacking/powerpoint-attack-malware.html