Emotet

다양한 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 최근 Emotet 악성코드가 링크 파일(.lnk)을 통해 유포되고 있음을 확인하였다. Emotet 악성코드의 경우 과거부터 꾸준히 유포되고 있으며 지난 4월부터 Emotet 다운로더가 엑셀 파일 뿐만 아니라 링크 파일(.lnk)도 사용하는 것으로 확인되었다. 확보한 EML 파일들은 모두 사용자 메일에 대한 회신인 것처럼 속여 악성 코드를 유포하는 공통점이 존재한다. [그림1] 메일에 첨부된 엑셀 파일의 경우 다음 블로그에서 공유한 매크로 시트를 활용한 유형과 동일한 방식을 사용한다. 엑셀 파일을 통해 유포 중인 Emotet 악성코드 엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 다운로드 URL은 다음과…

엑셀 문서를 통해 Emotet 악성코드 국내 유포 중

ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 엑셀 문서가 존재한다. Scan_2456321.xlsx 파일의 경우 이전과 동일하게 Auto_Open으로 설정되어 있는 셀의 수식을 통해 악성 명령어를 실행한다. 숨겨진 시트에는 [그림 5]와 같은 수식이 존재하여 사용자가…

엑셀 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다. 엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠 사용 버튼 클릭 시 해당 셀에 있는 수식이 자동으로 실행된다. Auto_Open으로 지정된 셀에는 다음과 같이 mshta를 실행하는 명령어가 포함되어있다. hxxp://92.255.57[.]195/ru/ru.html 에는 Powershell 명령어를 실행하는 스크립트가 포함되어 있어 mshta 에서 파워쉘을 실행하여 악성 행위를 수행한다. 위 스크립트를 통해 실행되는 파워쉘 명령어는 다음과…

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다. 메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 ‘MYTNXTOJ3 202010月17.doc’ 이름의 워드 파일이 존재한다. ‘MYTNXTOJ3 202010月17.doc’ 워드 문서 파일의 내용은 위와…

코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드

ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. https://asec.ahnlab.com/1358 피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 이용한 것으로 추정된다. 메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있다. 악성 매크로는 이전 공유한 Emotet 다운로더와…