본문 바로가기
악성코드 정보

송장 메일로 유포되는 엑셀 문서 주의 (2)

by AhnLab ASEC 분석팀 2019.10.22

10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다.

 

엑셀 파일에서 드롭되는 최종 DLL은 1017, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다.

 

2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의

https://asec.ahnlab.com/1254

 

‘급여명세서’ 메일로 유포되는 엑셀 문서 주의

10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월..

asec.ahnlab.com

이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유포되고 있는 스팸 메일의 경우 드롭박스를 위장하여 악성 엑셀 문서를 유포한다는 점이다. 메일에 포함된 링크에는 “N98300_10.21.19.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일이 존재한다. 해당 메일의 경우 발송자를 “XX회계법인”으로 위장하였으, 발송자와 메일 제목 내용은 달라질 가능성이 높다.

 

Dropbox를 위장한 악성 링크를 포함한 유포 방식
해당 링크에 포함된 악성 엑셀 파일

 

악성 엑셀 문서를 실행하면 다음과 같은 화면을 볼 수 있으며, 사용자의 매크로 사용 허용을 유도한다. 만약 매크로 사용을 허용한다면, 내부에 포함된 악성 매크로가 실행된다.

 

송장으로 위장한 엑셀 파일
이전과 동일하게 로딩 이미지를 보여준다

 

이번에 확인된 C2 주소는 다음과 같다.

C&C 서버 : https://windows-service-en[.]com/f2121

 

흔히 알려진 악성 매크로를 포함하는 문서 파일을 첨부한 형태의 스팸 메일이 아닌, 위와 같이 Dropbox를 위장한 악성 링크를 포함하여 유포되는 악성 메일에 대해서도 주의가 필요하다.

 

안랩은 스팸 메일로 유포되는 악성 문서 파일과 다운로드되는 실행 파일을 다음과 같이 진단하고 있다. 또한 악성 엑셀 파일이 접속하는 악성 C&C 주소를 ASD 네트워크를 통해 차단하고 있다.

 

- VBA/Loader (2019.10.22.03)

- BinImage/Encpe (2019.10.22.04)
- VBA/Loader.S3 (2019.10.22.04)
- Trojan/Win32.Reflect.C3525295 (2019.10.22.04)
- Trojan/Win64.Reflect.R295367 (2019.10.22.04)

 

댓글0