6개월만에 Excel 파일을 통해 다시 유포 중인 Emotet 악성코드
ASEC 분석팀은 다양한 방식을 통해 변형되어 유포된 Emotet 악성코드에 대해 여러 차례 블로그를 통해 정보를 공개한 바 있다. 최근 Emotet 악성코드의 유포가 다시 활발해진 정황이 확인되었다. 마지막으로 활발한 유포 양상을 보이던 것부터 약 6개월이 지난 시점이며, 당시 유포되었던 Excel 파일과 어떤 부분이 달라졌는지 살펴보려고 한다. 엑셀 파일을 통해 유포 중인
매크로 시트를 이용한 악성 엑셀 국내 유포 중 (2)
ASEC 분석팀은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle / Qakbot 을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다. 매크로 시트를 이용한 악성 엑셀 국내 유포 중 – ASEC
파일리스로 동작하는 Remcos RAT 악성코드
ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면
불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!
ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. [그림 1] –
