상세 컨텐츠
본문
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 “모바일 전송 메일”로 위장한 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요합니다.
[그림 1] 이메일 화면
이메일은 현재 악성코드 xls파일을 첨부하여 대량 유포되고 있습니다. 해당 파일은 XLM 매크로를 통해 악성코드 설치파일을 다운로드 합니다. 최종 페이로드인 ‘wsus.exe’는 감염된 PC를 통해 원격 제어기능을 합니다.
[그림 2] 악성코드 공격 흐름도
이번 메일은 사용자가 확인 가능한 내용이 없기 때문에 궁금증을 유발시켜 첨부 xls파일 실행을 유도합니다. 해당 xls파일 또한 삽입된 매크로가 실행하도록 유도합니다.
[그림 3] '인보이스-12-2-2019.xls' 파일 화면
삽입된 XLM 코드는 아래와 같이 숨긴 시트를 통해 통신 하는걸 알 수 있습니다.
[그림 4] 삽입된 XLM 코드
최종 악성코드를 다운받기 위해 ‘http://update365office.com/agp’와 ‘http://185.17.123.201/dat3.omg’를 통해 나누어 다운로드가 진행됩니다. 이는 1차 다운로드 파일에서 백신 검사를 통해 최종 페이로드 탐지를 우회하기 위함으로 보입니다.
[그림 5] 백신 우회 코드
최종적으로 실행되는 wsus.exe는 원격제어 악성코드로써 명령줄 실행, 사용자 정보 수집, 권한 상승 등 기능을 수행합니다. 추가적으로 이 악성코드는 상업용 원격제어 프로그램인 ‘Ammyy Admin’의 유출된 소스코드를 기반으로 제작되었습니다.
[그림 6] 유출된 코드와의 비교 화면
따라서 사용자 여러들은 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인하여야 합니다.
현재 알약에서는 해당 악성코드에 대하여 ’Trojan.Agent.Qkkbal’로 탐지 중에 있습니다.
※ 관련글 보러가기
▶ 유출된 소스코드 기반으로 제작된 악성코드 유포 주의 (2019.02.14)
▶ Trojan.Ransom.Clop 악성코드 분석 보고서 (2019.03.22)
'악성코드 분석 리포트' 카테고리의 다른 글
| 국내 기업, 기관을 대상으로 대량 유포중인 송장/인보이스 사칭 악성 이메일 주의! (0) | 2019.02.19 |
|---|---|
| Trojan.Android.SmsAgent 악성코드 분석 보고서 (0) | 2019.02.18 |
| [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (0) | 2019.02.12 |
| '긴급 통신!' 등의 제목으로 전파 중인 가짜 혹스(Hoax) 이메일 주의! (0) | 2019.02.08 |
| 새로운 도메인을 통해 지속적으로 유포되는 갠드크랩(GandCrab)랜섬웨어 v5.1 (0) | 2019.02.04 |
댓글 영역