MS 스토어에서 보낸 메일로 위장한 DOC 매크로 공격 발견, 사용자 주의! 안녕하세요. 알약입니다. 추석 연휴 기간이었던 지난 14일, 러시아 언어로 작성된 악성 DOC 파일이 국내 특정 기업에 전송되는 사례가 발견되었습니다. 연휴를 마치고 복귀한 국내 기업, 기관에 근무하는 임직원 사용자의 각별한 주의가 필요합니다. 해당 공격 메일은 MS 스토어에서 발송한 것으로 위장되어 있어, 사용자가 별다른 의심 없이 첨부 파일을 실행하도록 유도하고 있습니다. 위 메일 화면과 같이, 공격자는 사용자를 속이기 위해 악성 메일을 MS의 공식 메일인 것처럼 교묘하게 제작했습니다. 사용자가 메일에 첨부된 DOC 파일을 실행하면, '읽기모드'로 실행되어 메뉴가 최소화되도록 합니다. 이후 WORD 파일이 보호되어 있는 것처..

악성코드 분석 리포트 2016. 9. 20. 10:50

MS 워드 매크로 사용 문서(.docm) 이용한 Locky 랜섬웨어 주의! Microsoft Word 매크로 사용 문서(.docm)를 이용한 Locky 랜섬웨어가 국내에 유포되고 있습니다. 공격자는 이메일 차단 솔루션의 차단로직을 우회하기 위해 DOC 파일이 아닌 DOCM 파일을 이용하고 있습니다. DOCM파일(Word Open XML Macro-Enabled Document file)은 오피스 2007부터 도입된 파일 확장자로, 해당 문서에 매크로가 포함되어 있다는 것을 의미합니다. Locky 랜섬웨어의 경우 미국, 일본, 중국 등 해외에서 온 송장(Invoice)나 결제 등을 사칭한 doc, xls 문서에 악의적 코드로 작성된 매크로를 포함시켜 사용자로 하여금 랜섬웨어 다운로드 및 실행을 유도하고 있..

악성코드 분석 리포트 2016. 7. 7. 16:12