CHM 파일로 유포되는 정보유출 악성코드
Contents
AhnLab Security Emergency response Center(ASEC) 은 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드에 대해 소개했었다. 최근 국내 금융 기업 및 보험사를 사칭한 CHM 악성코드는 정보유출을 목적 하는 유포로 확인되어 소개하고자 한다. 유포일은 금융 기업의 결제일이 25일 예정인 사용자를 기준으로 명세서가 발송되는 지난 17일(월요일)에 금융 기업과 보험사를 사칭하여 유포되었다. 이와 동일한 금융 결제일을 갖는 사용자는 충분히 오해하여 실행할 수 있다. 안랩 EDR 제품에서는 사용자가 오해하여 실행된 신규 악성코드에 대해 실행된 이력을 상세히 기록하고 피해 정황과 유출 파일을 확인할 수 있다.
아래 게시글을 통해 CHM 악성코드의 유포 방식과 내용을 소개 했다. 안랩 EDR 제품에서 CHM 악성코드로부터 실행되어 정보 탈취형 악성코드의 탈취 행위까지 어떻게 기록되는지 소개한다.
[그림 1] 은 CHM 악성코드가 실행된 EDR 탐지 다이어그램 이다. hh.exe는 윈도우 정상 프로그램으로, 윈도우 도움말 파일(*.CHM)을 실행하는 프로세스이다. 이후 이어지는 프로세스 실행 관계에서 스크립트 프로세스와 명령줄 인터페이스 프로세스인 CMD 및 정보 탈취형 악성코드 alg.exe 의 실행 관계를 볼 수 있다.
[그림 2] 는 앞서 블로그에서 소개한 초기 실행 …
아래 게시글을 통해 CHM 악성코드의 유포 방식과 내용을 소개 했다. 안랩 EDR 제품에서 CHM 악성코드로부터 실행되어 정보 탈취형 악성코드의 탈취 행위까지 어떻게 기록되는지 소개한다.
[그림 1] 은 CHM 악성코드가 실행된 EDR 탐지 다이어그램 이다. hh.exe는 윈도우 정상 프로그램으로, 윈도우 도움말 파일(*.CHM)을 실행하는 프로세스이다. 이후 이어지는 프로세스 실행 관계에서 스크립트 프로세스와 명령줄 인터페이스 프로세스인 CMD 및 정보 탈취형 악성코드 alg.exe 의 실행 관계를 볼 수 있다.
[그림 2] 는 앞서 블로그에서 소개한 초기 실행 …
IoC
0f27c6e760c2a530ee59d955c566f6da
150e53a8c852ac5f23f47aceef452542
59a924bb5cb286420edebf8d30ee424b
aaeb059d62c448cbea4cf96f1bbf9efa
bfe2a0504f7fb1326128763644c88d37
https://akriqa.xyz/qcknq
https://atusay.lat/kxydo
https://crilts.cfd/cdeeb
https://drilts.sbs/zcwq
https://frotsy.lol/cvxxv
https://labimy.ink/rskme
https://ppangz.mom/mjifi
https://sklims.lat/sbjcw
https://skrids.cfd/elzal
https://snexby.sbs/svbgt
https://snivox.lat/craig
https://sutezy.mom/nmjnq
https://tosals.ink/kxydo
https://tosals.ink/uEH5J.html
150e53a8c852ac5f23f47aceef452542
59a924bb5cb286420edebf8d30ee424b
aaeb059d62c448cbea4cf96f1bbf9efa
bfe2a0504f7fb1326128763644c88d37
https://akriqa.xyz/qcknq
https://atusay.lat/kxydo
https://crilts.cfd/cdeeb
https://drilts.sbs/zcwq
https://frotsy.lol/cvxxv
https://labimy.ink/rskme
https://ppangz.mom/mjifi
https://sklims.lat/sbjcw
https://skrids.cfd/elzal
https://snexby.sbs/svbgt
https://snivox.lat/craig
https://sutezy.mom/nmjnq
https://tosals.ink/kxydo
https://tosals.ink/uEH5J.html