엑셀악성코드

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…

송장 메일로 유포되는 엑셀 문서 주의 (2)

10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유포되고 있는 스팸 메일의 경우 드롭박스를 위장하여 악성 엑셀 문서를 유포한다는 점이다. 메일에 포함된 링크에는 “N98300_10.21.19.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일이 존재한다. 해당 메일의 경우 발송자를 “XX회계법인”으로 위장하였으며, 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 엑셀…