[Trojan.Downloader.CHM] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

최근 국내 금융 기업 및 보험사를 위장한 악성 CHM 파일이 RAR 형식으로 압축되어 유포되고 있습니다. 이러한 CHM 파일 내부에는 악성 스크립트가 포함된 HTML 파일이 존재하며, 사용자가 CHM 파일을 실행하면 정상 파일처럼 위장한 [그림 1]과 같이 본문 내용을 보여주지만 백그라운드에서는 악성 행위를 수행합니다.

 

이번 보고서에서는 ‘윈도우 도움말 파일(*.chm) 악성코드’ 에 대해 분석해 보도록 합니다.

[그림] 유포된 본문 내용 일부

윈도우 도움말 파일(*.chm)을 이용한 악성코드는 사용자의 정보를 탈취하고 시스템 정보 및 웹 브라우저 정보를 탈취하는 인포스틸러 악성코드입니다. 이러한 형태의 공격은 사용자의 화면에 정상 이미지와 텍스트를 보여줌으로써, 사용자가 공격을 인지하기 어려운 수준으로 위장하여 유포되고 있습니다.

 

만일 기업체에서 이러한 악성코드에 감염이 되는 경우, 사용자의 정보 탈취에 따른 손해, 자산 손실 등의 위협에 노출될 수 있어서 주의가 필요합니다.

 

따라서, 악성코드 감염을 방지하기 위해 신뢰할 수 없는 페이지에서 파일을 다운로드 하지 않아야 하며 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.

 

현재 알약에서는 ‘Trojan.Downloader.CHM’ 으로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.