윈도우 도움말 파일(chm)로 유포되는 악성 이메일 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 윈도우 도움말 파일(chm)을 이용한 악성 이메일이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다.

 

이번에 발견된 메일은 "여러 질병의 자가 진단법입니다.", "윤아입니다." 의 제목으로 유포되었으며, 한국인들이 잘 걸리는 질병에 대한 예방과 자가진단, 제20대 대통령 선거 결과에 대한 내용으로 이루어져 있습니다.

 

[그림 1] 유포 되고 있는 악성 이메일 화면

 

 

유포된 이메일은 모두 ZIP로 압축된 파일이 첨부되어 있으며, 압축 파일 내부에는 docx 문서와 rar 압축파일이 담겨 있습니다. 

 

 

[그림 2] zip 첨부 파일 내부 화면

 

 

파일 내부에 존재하는 docx 파일들은 모두 정상적인 파일들이며, rar 압축파일 내부에 악성 윈도우 도움말(chm)이 들어있습니다.

 

 

[그림 3] 정상적인 docx 문서 파일 화면

 

[그림 4] 윈도우 도움말(chm)으로 구성 된 악성 파일 화면

 

 

추가로 확인 된 메일은 "유산 상속" 에 관련 된 메일로 이전 형식과 동일하게 zip 파일 내부에 rar 압축파일과 docx 문서 파일이 추가 되어 있습니다.

[그림 4-1] 추가 발견 된 악성 이메일 및 압축파일 내부 화면

 

 

확인된 윈도우 도움말(chm) 파일의 이름은 아래와 같으며, 파일 실행 시 다음과 같은 화면을 보여주게 됩니다.

 

Report.chm
Breast Cancer.chm
Colorectal Cancer.chm
Diabetes.chm
Erectile Dysfunction.chm
Stomach Cancer.chm
Arteriosclerosis.chm
Azoospermia.chm

inherit.chm

 

 

[그림 4] 윈도우 도움말(chm) 일부 실행 화면

 

 

chm 파일 내부에는 아래 파일들이 들어있고 모든 chm 내부에 들어가 있는 html 파일의 코드를 확인하면 아래와 같은 스크립트가 존재합니다.

 

 

[그림 5] 윈도우 도움말(chm) 내부에 존재하는 html 파일 화면

 

 

해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입 한 후 Click() 함수를 통해 악성 명령어를 실행합니다.

 

악성 명령어가 실행되면 %USERPROFILE%\Links\Document.dat, %USERPROFILE%\Links\Document.jse 파일을 생성 및 실행하며, 생성된 %USERPROFILE%\Links\Document.jse 파일은 시스템이 재부팅 시에도 자동으로 실행되기 위해 레지스트리 자동 실행(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)에 등록합니다.

 

 

[그림 6] html 하단에 삽입 되어있는 스크립트 화면

 

 

실행된 Document.jse 파일 내용은 아래와 같으며 powershell을 이용해서 c2 접속 후 파일을 다운로드 후 audiodg.exe를 실행시킵니다.

 

[그림 7] Document.jse 스크립트 화면

 

 

현재까지 확인 된 C2 리스트는 아래와 같습니다.

 

hxxps://encorpost[.]com/post/post.php?type=1
hxxps://hillokay[.]com/config/conf.php?type=1
hxxps://vhostnetwork[.]com/core/config.php?type=1
hxxps://want-helper[.]com/database/db.php?type=1
hxxp://encorpost[.]com/post/post.php?type=1
hxxp://nhn-games[.]com/game03953/gamelist.php?type=1
hxxp://sktelecom[.]help/download/select.php?type=1
hxxp://foxiebed/database/db.php?type=1 (도메인 오류)

hxxps://successgoo.com/database/db.php?type=1

 

 

최근 악성 윈도우 도움말(chm) 파일을 이용한 악성 이메일 유포가 지속적으로 확인되고 있으며, 코로나19, 2022년 대선 관련 내용과 같이 민감한 내용을 다루고 있기 때문에 출처가 불분명한 사용자에게서 수신한 이메일의 열람을 지양해주시기 바랍니다. 

 

유사한 위협 사례들이 꾸준히 발견되고 있다는 점을 명심해 철저한 보안수칙 준수와 노력이 필요합니다.

 

현재 알약에서는 해당 악성코드를 Trojan.Dropper.CHM 로 탐지 중에 있습니다.