lazarusholic

2021-05-24, Ahnlab
https://asec.ahnlab.com/ko/23396/
#Phishing

정상 엑셀/워드 문서로 위장한 악성 코드
ASEC 분석팀은 최근 특정 유형의 악성 매크로를 포함한 문서 파일이 지속적으로 유포되고 있음을 확인하였다. 해당 유형의 악성 파일은 아래와 같이 다양한 파일명으로 유포되고 있으며, 모두 정상 파일을 위장하는 내용을 담고 있어 사용자의 주의가 필요하다.
- 제헌절 국제학술포럼.doc
- 제28차 남북관계전문가토론회***.doc
- 사례비 양식.doc
- email_20210516.xls
- email_20210414.xls
최근 확인된 엑셀 파일의 경우 ’email_20210516.xls’과 같이 유포 날짜를 파일명에 포함하고 있으며, 아래와 같이 매크로 활성화를 유도하는 내용을 포함하고 있다. 또한, 하단에 국내 카드사의 정보를 추가하여 해당 카드사에서 발신한 것처럼 위장하였다.
엑셀 파일 내부
사용자가 콘텐츠 사용을 클릭하면 아래와 같이 메일 확인 번호 입력 창이 발생하여 해당 파일이 정상적인 문서처럼 보이도록 구성하였다. 또한, 생년월일 6자리 입력을 요구하며 실제로 6자리 숫자가 아닐 시 알림 창이 발생한다.
매크로 실행 시 화면
비밀번호 입력시 알림창
이후 사용자가 6자리의 숫자를 입력하면 파일에 숨겨진 시트로 존재하던 아래의 시트가 나타난다. 해당 시트에는 앞서 사칭한 카드사가 아닌 은행의 정보를 사용하였다.
비밀번호 입력시 화면
엑셀 파일에 존재하는 악성 매크로는 사용자가 매크로 사용을 활성화하면 자동으로 실행된다. 해당 매크로는 파워쉘 명령어로 …

http://warms.atwebpages.com/rh/ee.txt
http://manstr.myartsonline.com/pc/kj.txt
http://warms.atwebpages.com/rh/ee.down
http://warms.atwebpages.com/rh/baymax[
http://wariii.mypressonline.com/home/jpg/downpost.php
http://wariii.mypressonline.com/home/jpg/downdownload.php?filename=baymax[
http://hanmail.net
http://rukagu.mypressonline.com/le/yj.txt
http://warms.atwebpages.com/rh/hollow64.txt
http://warms.atwebpages.com/rh/post.php
[email protected]