국내 금융 기업 및 보험사를 사칭한 CHM 악성코드
Contents
AhnLab Security Emergency response Center(ASEC) 은 지난 3월 금융 기업 보안 메일을 사칭한 CHM 에 대해 소개했었다. 최근 유사한 방식으로 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드 유포가 확인되어 소개하고자 한다.
해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다.
이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가 바로 실행되지 않고, 문자열을 조합 후 innerHTML 속성을 통해 특정 id 영역에 삽입되어 실행되는 점이 다르다. 바로가기 객체(ShortCut), Click 메서드 등을 이용하는 방식은 기존과 동일하다.
해당 스크립트를 통해 실행되는 명령어는 총 2개로, 먼저 “C:\Users\Public\Libraries” 경로에 CHM 파일을 디컴파일 한다. 이후 디컴파일되어 생성된 “Docs.jse” 파일을 wscript 를 통해 실행하게 된다.
- Command 1 : hh,-decompile C:\Users\Public\Libraries [CHM실행경로]
- Command 2 : wscript,C:\Users\Public\Libraries\Docs.jse P
“Docs.jse” 파일은 인코딩된 JavaScript 로, 디코딩된 코드는 아래와 같다. 해당 코드에서도 실제 악성 행위에 …
해당 CHM 파일은 압축된 형태(RAR)로 유포 중이며, 실행 시 각각 아래와 같은 도움말 창을 생성한다. 모두 국내 금융 기업과 보험사를 사칭한 안내문으로 “카드 이용한도”, “보험료 출금결과”, “은행 상품 계약” 내용을 포함하고 있다.
이때 실행되는 악성 스크립트는 아래와 같으며, 기존 악성 CHM 내 스크립트와 차이점이 존재한다. Object 태그와 명령어가 바로 실행되지 않고, 문자열을 조합 후 innerHTML 속성을 통해 특정 id 영역에 삽입되어 실행되는 점이 다르다. 바로가기 객체(ShortCut), Click 메서드 등을 이용하는 방식은 기존과 동일하다.
해당 스크립트를 통해 실행되는 명령어는 총 2개로, 먼저 “C:\Users\Public\Libraries” 경로에 CHM 파일을 디컴파일 한다. 이후 디컴파일되어 생성된 “Docs.jse” 파일을 wscript 를 통해 실행하게 된다.
- Command 1 : hh,-decompile C:\Users\Public\Libraries [CHM실행경로]
- Command 2 : wscript,C:\Users\Public\Libraries\Docs.jse P
“Docs.jse” 파일은 인코딩된 JavaScript 로, 디코딩된 코드는 아래와 같다. 해당 코드에서도 실제 악성 행위에 …
IoC
0f27c6e760c2a530ee59d955c566f6da
59a924bb5cb286420edebf8d30ee424b
aaeb059d62c448cbea4cf96f1bbf9efa
bfe2a0504f7fb1326128763644c88d37
https://atusay.lat/kxydo
https://crilts.cfd/cdeeb
https://labimy.ink/rskme
https://ppangz.mom/mjifi
59a924bb5cb286420edebf8d30ee424b
aaeb059d62c448cbea4cf96f1bbf9efa
bfe2a0504f7fb1326128763644c88d37
https://atusay.lat/kxydo
https://crilts.cfd/cdeeb
https://labimy.ink/rskme
https://ppangz.mom/mjifi