excel

블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포

블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다. 첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. XLSX가 스트링 기반의…

기업 타겟 Invoice 위장 엑셀 문서 유포

ASEC 분석팀은 최근 Invoice로 위장한 악성 엑셀 문서를 확인하였다. 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 아래는 국내에 유포중인 악성 메일이다. 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 아래와 같이 특정 이미지가 포함되어 있어 사용자의 클릭을 유도한다. 또한, 해당 이미지에는 매크로가 지정되어 있어 사용자가 이미지를 클릭해야만 매크로가 실행되어 악성 행위를 수행한다. Macro1 시트는 숨겨진 시트로 존재하며, 해당 시트는 아래 그림4와 같이 다수의 수식이 여러 셀에 나누져 있다. 사용자가 이미지 클릭 시 다음과 같은 경고창이 생성된다….

엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)

ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다. 피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다. 메일의 본문 내용에는 마치 신뢰할 수 있는 금융기관인 것처럼 보이는 것을 볼 때, 정상적으로 사용된 메일을 악용한 것으로 추정된다. 첨부 파일은 HTML 파일(Advice.htm)로 되어 있으며, 실행해보면 아래와 같은 창이 뜨게…

엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden)

ASEC분석팀은 3월 25일 악성 매크로 코드를 ‘좀 더’ 숨긴 엑셀파일에서 Anti-VM 기능까지 추가 된 것을 확인하였다. 해당 엑셀파일을 실행 시, 사용자는 아래의 그림과 같이 왼쪽 하단에 ‘Sheet1’ 이름의 시트만 확인이 가능하다. 실제 악성코드가 사용하는 매크로 코드는 ‘Sheet1’이 아닌 숨겨진 시트에서 확인이 가능하다. 매크로 시트를 구성하는 바이너리를 보면 ’01’ (Excel 4.0 macro sheet)가 ’02’ (very hidden)로 값이 되어 있음을 확인할 수 있고, 02를 00 으로 수정 시 숨겨져 있는 악성 Sheet를 확인 할 수 있다. very hidden에 대한 자세한 내용은 아래 글을…

악성 매크로 코드를 ‘좀 더’ 숨긴 엑셀 파일 유포 – very hidden

새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 – invoice_805274.xls 생성일 – 2020-03-09 15:30:32 MD5 – a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된…