ASEC 분석팀은 2주 전, 윈도우 도움말 파일(*.chm) 형식의 악성코드에 대해 소개하였다. 금일 추가로 확인된 악성 chm 파일은 코로나 확진 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있다. 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보인다.
현재 유포되고 있는 파일명은 아래와 같으며, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때 사용자 PC 화면에는 코로나 확진 안내문 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다.
- 유포 파일명
확진자 및 동거인 안내문 (50).chm
또한, 안내문에 포함된 단축 url 은 아래와 같이 정상 사이트로 리다이렉트되어 사용자는 악성 행위를 더욱 알아차리기 힘들다.
악성 chm 파일에 포함된 html 파일의 코드를 확인해보면 아래와 같은 스크립트가 존재한다. 해당 스크립트는 특정 id 속성 영역에 스크립트를 삽입 후 Click() 함수를 통해 악성 명령어를 실행하는 기능을 수행한다. 악성 명령어가 실행되면 hh.exe 프로세스를 통해 chm 파일을 디컴파일하여 “c:\\programdata\\chmtemp” 폴더에 생성한다. hh.exe 프로세스는 HTML 도움말 실행 프로그램으로 컴파일된 도움말(*.chm) 파일을 실행하거나 도움말 파일에 대한 탐색 및 기타 기능을 제공한다. 이후 디컴파일된 파일 중 chmext.exe 파일을 실행하게 된다.
chmext.exe 파일은 아래 게시물을 통해 소개한 내용 중 워드 프로세스에 인젝션되는 데이터와 동일한 유형이다. 해당 파일을 유포한 공격자와 동일한 공격자로 추정되며, chmext.exe 파일을 실행 시 동일하게 “%ProgramData%\Intel” 폴더에 IntelRST.exe 를 드롭한다.
드롭되어 실행되는 IntelRST.exe 파일도 동일한 유형으로, 프로세스 검사, RUN 키 등록, UAC Bypass, 윈도우 디펜더 예외 설정 기능이 모두 동일하다. 이후 hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0 에 접속을 시도하며 현재는 접속이 불가하다. 해당 url 에서 추가 url 을 받아와 이후 악성 행위를 수행하는 것으로 추정된다.
최근 국내 사용자를 대상으로 하는 악성 윈도우 도움말 파일(*.chm) 파일이 다수 확인되고 있어 사용자의 각별한 주의가 필요하다. 또한 출처가 불분명한 파일의 경우 실행을 자제하도록 해야 한다.
현재 V3에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/CHM.Akdoor (2022.03.31.02)
Trojan/Win.Generic.C5025270 (2022.03.23.02)
Dropper/Win.Agent.C5028107 (2022.03.25.03)
[IOC]
210db61d1b11c1d233fd8a0645946074
619649ce3fc1682c702d9159e778f8fd
bb71af5c5a113a050ff5928535d3465e
hxxps://dl.dropboxusercontent[.]com/s/k288s9tu2o53v41/zs_url.txt?dl=0
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포 […]
[…] CHM 유포 초기에는, 스크립트 내부에 명시된 디컴파일 대상의 악성 파일(ex. [3] & [4], ‘chmext.exe’)이 비슷한 시기에 Word 파일을 통해 유포된 […]