본문 바로가기

악성코드 정보

워드 문서파일 위장 악성 vbs 스크립트 유포 중 (BTS 화보집)

안랩 ASEC은 최근 국내 사용자를 대상으로 악성코드를 다운로드 받는 악성 vbs 스크립트 파일과 워드 문서 파일을 확인하였다.

 

공격자는 다음과 같이 “0328_크립토***라는 이름을 갖는 압축 파일을 메일 첨부 파일로 유포한다. 압축 파일 내부를 보면 "주식회사 크립토***_세무조정계산서(추가).doc” 악성 문서 파일과, “참고사항.doc               .vbs”라는 이름을 갖는 악성 vbs 스크립트가 들어있다.

메일에 첨부된 압축 파일 내부

 

악성 doc 파일은 아래와 같은 형태를 가지고 있는데 보통 매크로 활성화 버튼을 클릭하도록 유도하는 형태와 달리 아무런 내용이 존재하지 않는다. 아마도 이 문서 파일을 처음 읽는 입장에서 매크로를 활성화하지 않아 내용이 보이지 않는 것인가 하는 생각으로 활성화 버튼을 클릭하도록 유도하는 것으로 추정된다.

악성 doc 파일

 

매크로를 활성화 하면 악성 매크로가 실행되는데 최종적으로 다음 url에서 다른 exe 형태의 악성코드를 다운로드 받고 실행하는 기능을 갖는다.

 

- 다운로드 URL 주소 : http://XXXX.co[.]kr/images/sub03/JIT/A_Socket.ph

악성 doc 파일 내부의 매크로

 

다음으로 악성 vbs 파일을 살펴본다. 위의 사진과 같이 vbs 아이콘을 가지고 있지만 일반 사용자들은 눈에 보이는 doc라는 글자만 보고 문서 파일로 생각할 수 있다.

doc 확장자의 문서 파일로 속이기 위해 공백을 추가한 vbs 스크립트

 

Vbs 파일은 실행되면 또 다른 url에서 악성 doc 문서 파일을 다운로드 받는다.

또 다른 악성 doc 파일을 다운로드 받고 실행하는 기능

 

또 다른 악성 doc 문서 파일은 “BTS 화보집 및 스토리북이라는 제목을 가지고 있는데, 매크로 활성화 시 또 다른 악성 exe 파일을 다운로드 받는 행위는 동일하다.

악성 매크로를 포함하는 또 다른 doc 파일

 

다운로드 되는 kmrin.exe 파일은 자동 실행 등록 및 사용자의 기본 정보 (os, 사용자 이름, 컴퓨터 이름, AV 설치 여부 등) 들을 C2 서버로 유출한다.

기본 사용자 정보를 C2 서버로 보내는 부분

C2 주소 : http://cert-us[.]com/CC/index.php

 

현재 C2 서버와의 접속이 되지 않지만, 코드 상으로 분석된 내용을 보면 C2 서버에서 url을 받아와 해당 URL에서 또 다른 악성코드를 다운로드 받은 후 실행할 수 있는 기능이 존재한다.

 

안랩에서는 위의 악성코드들에 대해 다음과 같이 진단 중이다.

 

- 악성 워드 문서 파일 : MSOffice/Dropper (2019.03.29.01), W97M/Downloader (2019.03.29.08)

- 악성 vbs 스크립트 파일 : VBS/Downloader (2019.03.29.03)

- Exe 악성코드 : Backdoor/Win32.Agent (2019.03.29.04)