포스팅 내용

악성코드 분석 리포트

MS 스토어에서 보낸 메일로 위장한 DOC 매크로 공격 발견, 사용자 주의!

MS 스토어에서 보낸 메일로 위장한 DOC 매크로 공격 발견, 사용자 주의!


안녕하세요. 알약입니다.

추석 연휴 기간이었던 지난 14일, 러시아 언어로 작성된 악성 DOC 파일이 국내 특정 기업에 전송되는 사례가 발견되었습니다. 연휴를 마치고 복귀한 국내 기업, 기관에 근무하는 임직원 사용자의 각별한 주의가 필요합니다.



해당 공격 메일은 MS 스토어에서 발송한 것으로 위장되어 있어, 사용자가 별다른 의심 없이 첨부 파일을 실행하도록 유도하고 있습니다. 위 메일 화면과 같이, 공격자는 사용자를 속이기 위해 악성 메일을 MS의 공식 메일인 것처럼 교묘하게 제작했습니다.




사용자가 메일에 첨부된 DOC 파일을 실행하면, '읽기모드'로 실행되어 메뉴가 최소화되도록 합니다. 이후 WORD 파일이 보호되어 있는 것처럼 위장된 화면으로 매크로 실행을 유도합니다. DOC 파일은 러시아 언어로 작성되었습니다.



공격자는 매크로 분석을 방해하기 위해 문서편집에 암호를 설정했습니다. 사용자가 매크로를 실행할 경우, 악성 EXE 파일이 생성되고 실행됩니다.




악성 EXE 파일이 실행되면 특정 러시아 사이트로 감염된 PC 정보(컴퓨터명, 운영체제 종류, 아이피 등)가 전송됩니다. 


따라서 국내 기업 및 기관에 종사하는 사용자들은 이메일과 이메일에 첨부된 파일을 확인할 때에 한번 더 확인하는 등 각별한 주의를 당부 드립니다. 이번 공격은 MS 스토어와 같이 공신력있는 해외 기업으로 교묘히 위장하고 있어, 별다른 의심 없이 메일 내 첨부파일을 실행할 가능성이 높아 그 피해가 더욱 클 것으로 예상되고 있습니다. 더불어 사용하고 있는 오피스 프로그램의 보안 업데이트를 항상 최신으로 유지하고, 알약과 같이 신뢰할 수 있는 백신을 사용하는 등의 보안 수칙을 준수하시길 간곡히 권해 드립니다.


현재 알약에서는 이번 해킹 공격에 사용된 악성코드를 Trojan.Downloader.DOC.Gen / Trojan.Zdowbot으로 탐지하고 있습니다. 



  1. 박규식 2016.09.20 12:08  수정/삭제  댓글쓰기

    매번 도움되는 정보 감사합니다.

    • 알약(Alyac) 2016.09.20 13:49 신고  수정/삭제

      도움이 되셨다니 뿌듯하네요! 앞으로도 보안관련 소식을 꾸준히 제공해드리기 위해 노력하겠습니다. 댓글 감사 드립니다. ^^

티스토리 방명록 작성
name password homepage