6개월만에 Excel 파일을 통해 다시 유포 중인 Emotet 악성코드
ASEC 분석팀은 다양한 방식을 통해 변형되어 유포된 Emotet 악성코드에 대해 여러 차례 블로그를 통해 정보를 공개한 바 있다. 최근 Emotet 악성코드의 유포가 다시 활발해진 정황이 확인되었다. 마지막으로 활발한 유포 양상을 보이던 것부터 약 6개월이 지난 시점이며, 당시 유포되었던 Excel 파일과 어떤 부분이 달라졌는지 살펴보려고 한다. 엑셀 파일을 통해 유포 중인
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)
ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1) – ASEC BLOG ASEC 분석팀에서는 악성 매크로 파일에
Job Offer Letter로 위장한 악성코드
ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다. 그림1) 악성코드 동작과정 스팸메일의 정확한 유입경로는 파악되지 않았으나,
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향
ASEC 분석팀에서는 악성 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 TA551 공격그룹에서 유포한 유형의 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것이 확인되어 이를 소개하려 한다. TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 문서 매크로 허용 시 HTA 파일을 드롭한
불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!
ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. [그림 1] –
