원노트

원노트(OneNote)로 유포중인 Emotet 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 Emotet 악성코드가 원노트(OneNote)를 통해 유포 중임을 확인하였다. 스피어피싱을 기반으로 시작하는 아래와 같은 이메일을 통해 악성 스크립트 파일(JS 파일)이 포함된 원노트 열람을 유도한다. 원노트 실행 시 문서 열람을 위해 클라우드로 연결하는 버튼 클릭을 유도하며, Next 버튼에는 output1.js 명의 악성 스크립트가 삽입되어있다. 실행된 output1.js 파일은 아래와 같이 문자열 치환 방식으로 난독화되어 있으며, 최종적으로 실행된 스크립트 파일은 지정된 C2에 접속하여 Emotet 악성코드를 다운로드한다. 다운로드 된 Emotet 악성코드는 regsvr32.exe을 통해 실행된다. 최근 원노트를 악용한 악성코드 유포가 빈번히 확인되어…