악성코드 분석 리포트

입사지원서를 위장하여 유포중인 Danabot 주의!

알약4 2024. 4. 11. 15:41

 

 

안녕하세요? 

이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

입사지원서를 위장한 악성 메일이 발견되어 각별한 주의가 필요합니다. 

 

 

[그림 1] 입사지원서를 위장한 피싱 메일

 

 

해당 이메일은 채용담당 계정으로 발송되어 실행을 유도합니다. 

 

이메일에 첨부된 '강지현.docx' 파일 내부에는 악성 매크로가 포함되어 있으며, doc을 실행하면 '원격 템플릿 주입(Remote Template Injection)'기술을 사용하여 공격자가 미리 설정해 놓은 주소로 접속하여 악성 매크로가 포함된 DOTM 파일을 내려받습니다. 

 

 

[그림 2] 워드파일 실행 시 자동으로 다운로드 되는 dotm 파일

 

 

[그림 3] Remote Template Injection 코드

 

 

이후 사용자로 하여금 또 한번 [컨텐츠 사용]의 클릭을 유도하여 dotm 파일 내 포함되어 악성 매크로 실행을 시도합니다. 

 

 

[그림 4] 콘텐츠 사용 버튼 클릭을 유도하는 악성 파일

 

[그림 5] dotm 파일 내 포함되어 있는 스크립트

 

 

사용자가 만일 컨텐츠 사용 버튼을 누르면 내부에 포함되어있던 악성 매크로가 실행되면서 공격자가 미리 지정해둔 서버에 접속하여 .exe 파일을 내려받아 public 경로 하위에 i44t4.exe 파일명으로 저장 후 실행하며, 최종적으로 사용자의 자격증명과 비밀번호를  탈취하는 danabot 악성코드가 실행됩니다. 

 

현재 알약에서는 해당 악성파일들에 대해 Trojan.Downloader.DOC.Gen, Spyware.Danabot.A로 탐지중에 있습니다.